設定批次推論的許可權 - Amazon Bedrock

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定批次推論的許可權

注意

批次推論為預覽版,可能會有所變更。批次推論目前只能透過 API 使用。透過下列 SDK 存取批次 API。

我們建議您建立虛擬環境以使用 SDK。由於最新的 SDK 中無法使用批次推論 API,因此建議您先從虛擬環境中解除安裝最新版本的 SDK,然後再使用批次推論 API 安裝版本。如需引導範例,請參閱程式碼範例

若要設定批次推論的角色,請按照建立角色以委派權限給 AWS 服務中的步驟建立 IAM 角色。將下列政策連接至該角色:

  • 信任政策

  • 存取包含批次推論任務輸入資料的 Amazon S3 儲存貯體,以及寫入輸出資料。

  1. 下列政策允許 Amazon Bedrock 擔任此角色,並執行批次推論任務。以下顯示您可使用的範例政策。您可以使用一或多個全域條件內容索引鍵來限制權限範圍。如需詳細資訊,請參閱 AWS 全域條件內容索引鍵。將 aws:SourceAccount 值設定為您的帳戶 ID。使用 ArnEqualsArnLike 條件來限制範圍。

    注意

    為獲得安全的最佳實務,是在建立特定批次推論任務 ID 之後取代 *

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
          "StringEquals": {
            "aws:SourceAccount": "account-id" 
          },
          "ArnEquals": {
            "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*"
          }
     }
    }
  ]
}

  2. 附加下列政策以允許 Amazon Bedrock 存取包含批次推論任務輸入資料的 S3 儲存貯體 (取代 my_input_bucket),以及將輸出資料寫入其中的 S3 儲存貯體 (取代 my_output_bucket)。將 account-id 取代為您為其提供 S3 儲存貯體存取權之使用者的帳戶 ID。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::my_input_bucket",
        "arn:aws:s3:::my_input_bucket/*",
        "arn:aws:s3:::my_output_bucket",
        "arn:aws:s3:::my_output_bucket/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": [
            "account-id"
          ]
        }
      }
    }
  ]
}