建立批次推論的自訂服務角色 - Amazon Bedrock
信任關係批次推論服務角色的身分型許可。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立批次推論的自訂服務角色

若要使用客服人員的自訂服務角色,而不是 中自動為您建立的 Amazon Bedrock AWS Management Console,請建立IAM角色,並依照建立角色以將許可委派給 AWS 服務的步驟連接下列許可

信任關係

下列信任政策允許 Amazon Bedrock 擔任此角色,並提交和管理批次推論任務。values 視需要更換 。政策包含選用的條件金鑰 (請參閱 Amazon Bedrock 的條件金鑰AWS 全域條件內容金鑰),在建議您做為安全最佳實務的 Condition 欄位中。

注意

基於安全考量的最佳實務是,請在建立特定批次推論任務IDs之後,*將 取代為特定批次推論任務。

{
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Principal": {
         "Service": "bedrock.amazonaws.com"
       },
       "Action": "sts:AssumeRole",
       "Condition": {
           "StringEquals": {
             "aws:SourceAccount": "${AccountId}" 
           },
           "ArnEquals": {
             "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*"
           }
      }
     }
   ]
}

批次推論服務角色的身分型許可。

下列主題說明並提供可能需要連接到自訂批次推論服務角色的許可政策範例,視您的使用案例而定。

(必要) 在 Amazon S3 中存取輸入和輸出資料的許可

若要允許服務角色存取包含輸入資料的 Amazon S3 儲存貯體,以及要寫入輸出資料的儲存貯體,請將下列政策連接至服務角色。values 視需要取代 。

{
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "S3Access",
         "Effect": "Allow",
         "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::${InputBucket}",
            "arn:aws:s3:::${InputBucket}/*",
            "arn:aws:s3:::${OutputBucket}",
            "arn:aws:s3:::${OutputBucket}/*"
         ],
         "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": [
                    "${AccountId}"
                ]
            }
         }
        }
    ]
}

(選用) 使用推論描述檔執行批次推論的許可

若要使用推論描述檔執行批次推論,服務角色除了在推論描述檔中每個區域的模型之外 AWS 區域,還必須具有在 中呼叫推論描述檔的許可。

如需使用跨區域 (系統定義) 推論描述檔叫用 的許可,請使用下列政策做為許可政策的範本,以連接至您的服務角色:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [  
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${Region}:${AccountId}:inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}",
                "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}",
            ...
            ]
        }
    ]
}

如需使用應用程式推論描述檔叫用 的許可,請使用下列政策做為許可政策的範本,以連接至您的服務角色:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ApplicationInferenceProfile",
            "Effect": "Allow",
            "Action": [  
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${Region}:${AccountId}:application-inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}",
                "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}",
            ...
            ]
        }
    ]
}