Configuration des autorisations pour l’inférence par lots - Amazon Bedrock

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des autorisations pour l’inférence par lots

Note

L’inférence par lots est actuellement disponible en version préliminaire et susceptible d’être modifiée. L’inférence par lots n’est actuellement disponible que via l’API. Accédez aux API par lots via les kits SDK suivants.

Nous vous recommandons de créer un environnement virtuel pour utiliser le SDK. Les API d'inférence par lots ne étant pas disponibles dans les derniers SDK, nous vous recommandons de désinstaller la dernière version du SDK de l'environnement virtuel avant d'installer la version avec les API d'inférence par lots. Pour un exemple guidé, voirExemples de code.

Pour configurer un rôle pour l'inférence par lots, créez un rôle IAM en suivant les étapes de la section Création d'un rôle pour déléguer des autorisations à un AWS service. Attachez les stratégies suivantes au rôle :

  • Politique d’approbation

  • Accédez aux compartiments Amazon S3 contenant les données d’entrée pour vos tâches d’inférence par lots et pour écrire les données de sortie.

  1. La politique suivante autorise Amazon Bedrock à endosser ce rôle et à effectuer des tâches d’inférence par lots. L'exemple suivant illustre un exemple de politique que vous pouvez utiliser. Vous pouvez restreindre la portée de l’autorisation en utilisant une ou plusieurs clés contextuelles de condition globale. Pour plus d’informations, consultez Clés contextuelles de condition globale AWS. Définissez la valeur aws:SourceAccount sur l'ID de votre compte. Utilisez la condition ArnEquals ou ArnLike pour limiter le champ d’application.

    Note

    Pour des raisons de sécurité, il est recommandé de remplacer le signe * par des ID de tâches d’inférence par lots spécifiques une fois que vous les avez créées.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
          "StringEquals": {
            "aws:SourceAccount": "account-id" 
          },
          "ArnEquals": {
            "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*"
          }
     }
    }
  ]
}

  2. Associez la politique suivante pour autoriser Amazon Bedrock à accéder au compartiment S3 contenant les données d’entrée de vos tâches d’inférence par lots (remplacez my_input_bucket) et au compartiment S3 dans lequel écrire les données de sortie (remplacez my_output_bucket). Remplacez account-id par l’identifiant de compte de l’utilisateur à qui vous accordez des autorisations d’accès au compartiment S3.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::my_input_bucket",
        "arn:aws:s3:::my_input_bucket/*",
        "arn:aws:s3:::my_output_bucket",
        "arn:aws:s3:::my_output_bucket/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": [
            "account-id"
          ]
        }
      }
    }
  ]
}