バッチ推論用のカスタムサービスロールを作成する

で Amazon Bedrock が自動的に作成するロールではなく、エージェントにカスタムサービスロールを使用するには AWS Management Console、「 サービスにアクセス許可を委任するロールの作成」の手順に従って IAMロールを作成し、次のアクセス許可をアタッチします。 AWS

信頼関係

以下の信頼ポリシーでは、Amazon Bedrock がこのロールを引き受け、バッチ推論ジョブの送信と管理を行えます。必要に応じて を置き換えvaluesます。このポリシーには、セキュリティのベストプラクティスとして使用することを推奨する Condition フィールドに、オプションの条件キー (「Amazon Bedrock の条件キー」および「AWS のグローバル条件コンテキストキー」を参照) が含まれています。

注記

セキュリティ上の理由からベストプラクティスとして、 を作成IDsした後、 *を特定のバッチ推論ジョブに置き換えます。

{
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Principal": {
         "Service": "bedrock.amazonaws.com"
       },
       "Action": "sts:AssumeRole",
       "Condition": {
           "StringEquals": {
             "aws:SourceAccount": "${AccountId}" 
           },
           "ArnEquals": {
             "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*"
           }
      }
     }
   ]
}

バッチ推論サービスロールのアイデンティティベースのアクセス許可。

以下のトピックでは、ユースケースに応じて、カスタムバッチ推論サービスロールにアタッチする必要があるアクセス許可ポリシーの例を説明し、提供します。

トピック

• （必須) Amazon S3 の入出力データにアクセスするためのアクセス許可

• （オプション) 推論プロファイルを使用してバッチ推論を実行するアクセス許可

（必須) Amazon S3 の入出力データにアクセスするためのアクセス許可

サービスロールが入力データと出力データを書き込むバケットを含む Amazon S3 バケットにアクセスできるようにするには、次のポリシーをサービスロールにアタッチします。必要に応じて を置き換えvaluesます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "S3Access",
         "Effect": "Allow",
         "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::${InputBucket}",
            "arn:aws:s3:::${InputBucket}/*",
            "arn:aws:s3:::${OutputBucket}",
            "arn:aws:s3:::${OutputBucket}/*"
         ],
         "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": [
                    "${AccountId}"
                ]
            }
         }
        }
    ]
}

（オプション) 推論プロファイルを使用してバッチ推論を実行するアクセス許可

推論プロファイルを使用してバッチ推論を実行するには、推論プロファイルの各リージョンのモデルに加えて AWS リージョン、 で推論プロファイルを呼び出すアクセス許可がサービスロールに必要です。

クロスリージョン (システム定義) 推論プロファイルで を呼び出すアクセス許可については、サービスロールにアタッチするアクセス許可ポリシーのテンプレートとして次のポリシーを使用します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [  
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${Region}:${AccountId}:inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}",
                "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}",
            ...
            ]
        }
    ]
}

アプリケーション推論プロファイルで を呼び出すアクセス許可については、 アクセス許可ポリシーをサービスロールにアタッチするためのテンプレートとして次のポリシーを使用します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ApplicationInferenceProfile",
            "Effect": "Allow",
            "Action": [  
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${Region}:${AccountId}:application-inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}",
                "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}",
            ...
            ]
        }
    ]
}