选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

为批量推理创建自定义服务角色

RSS
聚焦模式
为批量推理创建自定义服务角色 - Amazon Bedrock
信任关系批量推理服务角色的基于身份的权限。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

要使用自定义服务角色来进行批量推理,而不是 Amazon Bedrock 在中自动为您创建的角色 AWS Management Console,请按照创建角色向服务委派权限中的步骤创建一个 IAM 角色并附加以下权限。 AWS

信任关系

以下信任策略允许 Amazon Bedrock 担任此角色并提交和管理批量推理作业。根据需要values更换。该策略在 Condition 字段中包含了可选的条件键(参阅 Amazon Bedrock 的条件键AWS 全局条件上下文键),建议您将其作为最佳安全实践使用。

注意

出于安全考虑,最佳做法是在创建完特定的批量推理作业 IDs 后,将其替换为特定的批量推理作业。*

{
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Principal": {
         "Service": "bedrock.amazonaws.com"
       },
       "Action": "sts:AssumeRole",
       "Condition": {
           "StringEquals": {
             "aws:SourceAccount": "${AccountId}" 
           },
           "ArnEquals": {
             "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*"
           }
      }
     }
   ]
}

批量推理服务角色的基于身份的权限。

以下主题描述并提供了权限策略示例,根据您的用例,您可能需要将这些权限策略附加到自定义批量推理服务角色。

(必需)访问 Amazon S3 中输入和输出数据的权限

要允许服务角色访问包含您的输入数据的 Amazon S3 存储桶以及要向其写入输出数据的存储桶,请将以下策略附加到该服务角色。必要values时更换。

{
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "S3Access",
         "Effect": "Allow",
         "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::${InputBucket}",
            "arn:aws:s3:::${InputBucket}/*",
            "arn:aws:s3:::${OutputBucket}",
            "arn:aws:s3:::${OutputBucket}/*"
         ],
         "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": [
                    "${AccountId}"
                ]
            }
         }
        }
    ]
}

(可选)使用推理配置文件运行批量推理的权限

要使用推理配置文件运行批量推理,除了推理配置文件中每个区域的模型外 AWS 区域,服务角色还必须有权在中调用推理配置文件。

要获得使用跨区域(系统定义的)推理配置文件进行调用的权限,请使用以下策略作为要附加到您的服务角色的权限策略的模板:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [  
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${Region}:${AccountId}:inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}",
                "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}",
            ...
            ]
        }
    ]
}

要使用应用程序推理配置文件调用的权限,请使用以下策略作为权限策略的模板,以附加到您的服务角色:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ApplicationInferenceProfile",
            "Effect": "Allow",
            "Action": [  
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${Region}:${AccountId}:application-inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}",
                "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}",
            ...
            ]
        }
    ]
}

本页内容

Related resources

Amazon Bedrock API 参考
AWS CLI 的命令 Amazon Bedrock
SDKs & 工具 

Related resources

Amazon Bedrock API 参考
AWS CLI 的命令 Amazon Bedrock
SDKs & 工具 
隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。