Relação de confiança Permissões baseadas em identidade para a função do serviço de inferência em lote.

Crie uma função de serviço para inferência em lote

Para usar uma função de serviço personalizada para agentes em vez da que o Amazon Bedrock cria automaticamente, crie uma IAM função e anexe as seguintes permissões seguindo as etapas em Criação de uma função para delegar permissões a um AWS serviço:

Política de confiança
Uma política contendo as seguintes permissões baseadas em identidade
- Acesso aos buckets do Amazon S3 que contêm os dados de entrada para os trabalhos de inferência em lote e para gravar os dados de saída.

Quer você use uma função personalizada ou não, você também precisa anexar uma política baseada em recursos às funções do Lambda para que os grupos de ação em seus agentes forneçam permissões para que a função de serviço acesse as funções. Para obter mais informações, consulte Política baseada em recursos para permitir que o Amazon Bedrock invoque uma função Lambda do grupo de ação.

Tópicos

Relação de confiança
Permissões baseadas em identidade para a função do serviço de inferência em lote.

Relação de confiança

A política de confiança a seguir permite que o Amazon Bedrock assuma essa função e envie e gerencie trabalhos de inferência em lote. Substitua o values conforme necessário. A política contém chaves de condição opcionais (consulte Chaves de condição para Amazon Bedrock e AWS condição global (chaves de contexto) no Condition campo que recomendamos que você use como uma prática recomendada de segurança.

nota

Como melhor prática para fins de segurança, substitua o * com trabalhos específicos de inferência em lote IDs depois de criá-los.


{
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Principal": {
         "Service": "bedrock.amazonaws.com"
       },
       "Action": "sts:AssumeRole",
       "Condition": {
           "StringEquals": {
             "aws:SourceAccount": "account-id" 
           },
           "ArnEquals": {
             "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*"
           }
      }
     }
   ]
}

Permissões baseadas em identidade para a função do serviço de inferência em lote.

Anexe a política a seguir para fornecer permissões para a função de serviço, substituindo values conforme necessário. A política contém as seguintes declarações. Omita uma declaração se ela não for aplicável ao seu caso de uso. A política contém chaves de condição opcionais (consulte Chaves de condição para Amazon Bedrock e AWS condição global (chaves de contexto) no Condition campo que recomendamos que você use como uma prática recomendada de segurança.

Permissões para acessar o bucket do S3 contendo seus dados de entrada e o bucket do S3 no qual gravar seus dados de saída.


{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
          ],
          "Resource": [
            "arn:aws:s3:::my_input_bucket",
            "arn:aws:s3:::my_input_bucket/*",
            "arn:aws:s3:::my_output_bucket",
            "arn:aws:s3:::my_output_bucket/*"
          ],
          "Condition": {
            "StringEquals": {
              "aws:ResourceAccount": [
                "account-id"
              ]
            }
          }
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Perfis de serviço

Função do serviço de personalização de modelos