Crie uma função de serviço personalizada para inferência em lote - Amazon Bedrock
Relação de confiançaPermissões baseadas em identidade para o perfil de serviço de inferência em lote.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie uma função de serviço personalizada para inferência em lote

Para usar uma função de serviço personalizada para inferência em lote em vez da que o Amazon Bedrock cria automaticamente para você no AWS Management Console, crie uma função do IAM e anexe as seguintes permissões seguindo as etapas em Criar uma função para delegar permissões a um serviço. AWS

Relação de confiança

A política de confiança a seguir permite que o Amazon Bedrock assuma esse perfil e envie e gerencie trabalhos de inferência em lote. Substitua o values conforme necessário. A política contém chaves de condição opcionais (consulte Chaves de condição do Amazon Bedrock e Chaves de contexto de condição globais da AWS) no campo Condition que devem ser usadas como uma prática recomendada de segurança.

nota

Como prática recomendada para fins de segurança, substitua-os * por um trabalho de inferência em lote específico IDs depois de criá-los.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
                }
            }
        }
    ]
}

Permissões baseadas em identidade para o perfil de serviço de inferência em lote.

Os tópicos a seguir descrevem e fornecem exemplos de políticas de permissões que talvez você precise anexar à sua função personalizada de serviço de inferência em lote, dependendo do seu caso de uso.

(Obrigatório) Permissões para acessar dados de entrada e saída no Amazon S3

Para permitir que uma função de serviço acesse o bucket do Amazon S3 contendo seus dados de entrada e o bucket no qual gravar seus dados de saída, anexe a seguinte política à função de serviço. valuesSubstitua conforme necessário.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "S3Access",
         "Effect": "Allow",
         "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::${InputBucket}",
            "arn:aws:s3:::${InputBucket}/*",
            "arn:aws:s3:::${OutputBucket}",
            "arn:aws:s3:::${OutputBucket}/*"
         ],
         "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": [
                    "123456789012"
                ]
            }
         }
        }
    ]
}

(Opcional) Permissões para executar inferência em lote com perfis de inferência

Para executar a inferência em lote com um perfil de inferência, uma função de serviço deve ter permissões para invocar o perfil de inferência em um Região da AWS, além do modelo em cada região do perfil de inferência.

Para obter permissões a serem invocadas com um perfil de inferência entre regiões (definido pelo sistema), use a política a seguir como modelo para a política de permissões a ser anexada à sua função de serviço:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
            ]
        }
    ]
}

Para obter permissões a serem invocadas com um perfil de inferência de aplicativo, use a política a seguir como modelo para a política de permissões a ser anexada à sua função de serviço:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ApplicationInferenceProfile",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
            ]
        }
    ]
}