建立批次推論的服務角色 - Amazon Bedrock
信任關係批次推論服務角色的以身分識別為基礎的權限。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立批次推論的服務角色

若要為代理程式使用自訂服務角色而不是自動建立IAM的 Amazon Bdrock,請按照建立角色以將許可委派給 AWS 服務

  • 信任政策

  • 包含下列以身分識別為基礎的權限的原則

    • 存取包含批次推論任務輸入資料的 Amazon S3 儲存貯體,以及寫入輸出資料。

無論您是否使用自訂角色,都需要將以資源為基礎的政策附加至代理程式中的動作群組的 Lambda 函數,以便為服務角色提供存取函數的權限。如需詳細資訊,請參閱資源型政策,允許 Amazon Bedrock 叫用動作群組 Lambda 函數

信任關係

下列信任政策允許 Amazon 基岩擔任此角色,並提交和管理批次推論任務。更換 values 必要時。該政策包含可選條件金鑰 (請參閱 Amazon 基岩的條件金鑰AWS 我們建議您使用的Condition欄位中的全域條件內容索引鍵) 作為安全性最佳實務。

注意

作為安全目的的的最佳實踐,請更換 * 在建立特定批次推論工作IDs之後進行特定的批次推論工作。

{
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Principal": {
         "Service": "bedrock.amazonaws.com"
       },
       "Action": "sts:AssumeRole",
       "Condition": {
           "StringEquals": {
             "aws:SourceAccount": "account-id" 
           },
           "ArnEquals": {
             "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*"
           }
      }
     }
   ]
}

批次推論服務角色的以身分識別為基礎的權限。

附加下列原則以提供服務角色的權限,取代 values 必要時。此原則包含下列陳述式。如果語句不適用於您的用例,請省略該語句。該政策包含可選條件金鑰 (請參閱 Amazon 基岩的條件金鑰AWS 我們建議您使用的Condition欄位中的全域條件內容索引鍵) 作為安全性最佳實務。

  • 存取包含輸入資料的 S3 儲存貯體以及要寫入輸出資料的 S3 儲存貯體的許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
          ],
          "Resource": [
            "arn:aws:s3:::my_input_bucket",
            "arn:aws:s3:::my_input_bucket/*",
            "arn:aws:s3:::my_output_bucket",
            "arn:aws:s3:::my_output_bucket/*"
          ],
          "Condition": {
            "StringEquals": {
              "aws:ResourceAccount": [
                "account-id"
              ]
            }
          }
        }
    ]
}