翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
で Amazon Bedrock が自動的に作成するロールではなく、エージェントにカスタムサービスロールを使用するには AWS Management Console、「 サービスにアクセス許可を委任するロールの作成」の手順に従って IAMロールを作成し、次のアクセス許可をアタッチします。 AWS
信頼関係
以下の信頼ポリシーでは、Amazon Bedrock がこのロールを引き受け、バッチ推論ジョブの送信と管理を行えます。必要に応じて を置き換えvalues
ます。このポリシーには、セキュリティのベストプラクティスとして使用することを推奨する Condition
フィールドに、オプションの条件キー (「Amazon Bedrock の条件キー」および「AWS のグローバル条件コンテキストキー」を参照) が含まれています。
注記
セキュリティ上の理由からベストプラクティスとして、 を作成IDsした後、 *
を特定のバッチ推論ジョブに置き換えます。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "${AccountId}
"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:region
:account-id
:model-invocation-job/*
"
}
}
}
]
}
バッチ推論サービスロールのアイデンティティベースのアクセス許可。
以下のトピックでは、ユースケースに応じて、カスタムバッチ推論サービスロールにアタッチする必要があるアクセス許可ポリシーの例を説明し、提供します。
(必須) Amazon S3 の入出力データにアクセスするためのアクセス許可
サービスロールが入力データと出力データを書き込むバケットを含む Amazon S3 バケットにアクセスできるようにするには、次のポリシーをサービスロールにアタッチします。必要に応じて を置き換えvalues
ます。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${InputBucket}
",
"arn:aws:s3:::${InputBucket}/*
",
"arn:aws:s3:::${OutputBucket}
",
"arn:aws:s3:::${OutputBucket}/*
"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": [
"${AccountId}
"
]
}
}
}
]
}
(オプション) 推論プロファイルを使用してバッチ推論を実行するアクセス許可
推論プロファイルを使用してバッチ推論を実行するには、推論プロファイルの各リージョンのモデルに加えて AWS リージョン、 で推論プロファイルを呼び出すアクセス許可がサービスロールに必要です。
クロスリージョン (システム定義) 推論プロファイルで を呼び出すアクセス許可については、サービスロールにアタッチするアクセス許可ポリシーのテンプレートとして次のポリシーを使用します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:${Region}
:${AccountId}
:inference-profile/${InferenceProfileId}
",
"arn:aws:bedrock:${Region1}
::foundation-model/${ModelId}
",
"arn:aws:bedrock:${Region2}
::foundation-model/${ModelId}
",
...
]
}
]
}
アプリケーション推論プロファイルで を呼び出すアクセス許可については、 アクセス許可ポリシーをサービスロールにアタッチするためのテンプレートとして次のポリシーを使用します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ApplicationInferenceProfile",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:${Region}
:${AccountId}
:application-inference-profile/${InferenceProfileId}
",
"arn:aws:bedrock:${Region1}
::foundation-model/${ModelId}
",
"arn:aws:bedrock:${Region2}
::foundation-model/${ModelId}
",
...
]
}
]
}