本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
批量推理所需权限
要进行批量推断,您必须为以下 IAM 身份设置权限:
-
用于创建和管理批量推理任务的 IAM 身份。
-
Amazon Bedrock 代替您执行操作的批量推理服务角色。
要了解如何为每个身份设置权限,请浏览以下主题:
IAM 身份提交和管理批量推理任务所需的权限
要让 IAM 身份使用此功能,您必须为其配置必要的权限。为此,请执行以下操作之一:
-
要允许身份执行所有 Amazon Bedrock 操作,请将AmazonBedrockFullAccess策略附加到该身份。如果你这样做,你可以跳过这个话题。此选项不太安全。
-
作为安全最佳实践,您应仅向身份授予必要的操作。本主题介绍使用此功能所需的权限。
要将权限限制为仅用于批量推理的操作,请将以下基于身份的策略附加到 IAM 身份:
要进一步限制权限,可以省略操作,也可以指定筛选权限所依据的资源和条件键。有关操作、资源和条件键的更多信息,请参阅《服务授权参考》中的以下主题:
-
由 Amazon Bedrock 定义的操作 — 了解操作、在
Resource字段中可以将其限定的资源类型以及可以在Condition字段中筛选权限的条件键。 -
由 Amazon Bedrock 定义的资源类型 — 了解 Amazon Bedrock 中的资源类型。
-
亚马逊 Bedrock 的条件密钥 — 了解亚马逊 Bedrock 中的条件密钥。
以下策略是一个示例,它将批量推理的权限范围缩小到仅允许拥有账户 ID 123456789012 的用户使用该模型us-west-2在该地区创建批量推理作业:AnthropicClaude 3 Haiku
服务角色执行批量推理所需的权限
Batch 推理由服务角色执行,该角色假设您的身份代表您执行操作。您可以通过以下方式创建服务角色:
-
让 Amazon Bedrock 使用自动为您创建一个具有必要权限的服务角色。 AWS Management Console创建批量推理作业时,可以选择此选项。
-
使用 AWS Identity and Access Management 并附加必要的权限,为 Amazon Bedrock 创建自定义服务角色。提交批量推理作业时,您需要指定此角色。有关为批量推理创建自定义服务角色的更多信息,请参阅为批量推理创建自定义服务角色。有关创建服务角色的更多一般信息,请参阅 IAM 用户指南 AWS 服务中的创建向委派权限的角色。
重要
如果您在其中上传数据以进行批量推断的 S3 存储桶位于不同的存储桶中 AWS 账户,则必须配置 S3 存储桶策略以允许服务角色访问数据。即使您使用控制台自动创建服务角色,也必须手动配置此策略。要了解如何为 Amazon Bedrock 资源配置 S3 存储桶策略,请参阅将存储桶策略附加到 Amazon S3 存储桶,以允许其他账户访问该存储桶。
