为批量推理创建服务角色 - Amazon Bedrock
信任关系批量推理服务角色的基于身份的权限。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为批量推理创建服务角色

要为代理使用自定义服务角色而不是 Amazon Bedrock 自动创建的IAM角色,请按照创建角色向代理委派权限中的步骤创建一个角色并附加以下权限 AWS 服务:

  • 信任策略

  • 包含以下基于身份的权限的策略

    • 对包含批量推理作业输入数据以及向其写入输出数据的 Amazon S3 存储桶的访问权限。

无论您是否使用自定义角色,您还需要将基于资源的策略附加到代理中的操作组的 Lambda 函数,以便为服务角色提供访问这些函数的权限。有关更多信息,请参阅 基于资源的策略,允许 Amazon Bedrock 调用操作组 Lambda 函数

信任关系

以下信任策略允许 Amazon Bedrock 担任此角色并提交和管理批量推理作业。更换 values 如有必要。该政策包含可选的条件密钥(参见 Amazon Bedrock 的条件密钥AWSCondition字段中的全局条件上下文密钥),我们建议您将其用作安全最佳实践。

注意

出于安全目的的最佳实践,请替换 * 在你创建完批量推理任务IDs之后再使用特定的批量推理作业。

{
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Principal": {
         "Service": "bedrock.amazonaws.com"
       },
       "Action": "sts:AssumeRole",
       "Condition": {
           "StringEquals": {
             "aws:SourceAccount": "account-id" 
           },
           "ArnEquals": {
             "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*"
           }
      }
     }
   ]
}

批量推理服务角色的基于身份的权限。

附加以下策略以为服务角色提供权限,替换 values 如有必要。该政策包含以下声明。如果语句不适用于您的用例,则将其省略。该政策包含可选的条件密钥(参见 Amazon Bedrock 的条件密钥AWSCondition字段中的全局条件上下文密钥),我们建议您将其用作安全最佳实践。

  • 访问包含您的输入数据的 S3 存储桶和要向其写入输出数据的 S3 存储桶的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
          ],
          "Resource": [
            "arn:aws:s3:::my_input_bucket",
            "arn:aws:s3:::my_input_bucket/*",
            "arn:aws:s3:::my_output_bucket",
            "arn:aws:s3:::my_output_bucket/*"
          ],
          "Condition": {
            "StringEquals": {
              "aws:ResourceAccount": [
                "account-id"
              ]
            }
          }
        }
    ]
}