本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为批量推理创建自定义服务角色
要使用自定义服务角色来进行批量推理,而不是 Amazon Bedrock 在中自动为您创建的角色 AWS 管理控制台,请按照创建角色[向服务委派权限中的步骤创建一个 IAM 角色并附加以下权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。 AWS
**Topics**
+ [信任关系](#batch-iam-sr-trust)
+ [Identity-based 批量推理服务角色的权限。](#batch-iam-sr-identity)
## 信任关系
以下信任策略允许 Amazon Bedrock 担任此角色并提交和管理批量推理作业。根据需要{{values}}更换。该策略在 `Condition` 字段中包含了可选的条件键(参阅 [Amazon Bedrock 的条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)和 [AWS 全局条件上下文键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)),建议您将其作为最佳安全实践使用。
**注意**
出于安全考虑,最佳做法是在创建特定批量推理作业 ID 后将其替换为特定的批量推理作业 ID。{{\*}}
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:model-invocation-job/{{*}}"
}
}
}
]
}
```
------
## Identity-based 批量推理服务角色的权限。
以下主题描述并提供了权限策略示例,根据您的使用案例,您可能需要将这些策略附加到自定义批量推理服务角色。
**Topics**
+ [(必需)访问 Amazon S3 中输入和输出数据的权限](#batch-iam-sr-s3)
+ [(可选)使用推理配置文件运行批量推理的权限](#batch-iam-sr-ip)
### (必需)访问 Amazon S3 中输入和输出数据的权限
要允许服务角色访问包含输入数据的 Amazon S3 存储桶以及用于写入输出数据的存储桶,请向服务角色附加以下策略。必要{{values}}时更换。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{${InputBucket}}}",
"arn:aws:s3:::{{${InputBucket}/*}}",
"arn:aws:s3:::{{${OutputBucket}}}",
"arn:aws:s3:::{{${OutputBucket}/*}}"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": [
"{{123456789012}}"
]
}
}
}
]
}
```
------
### (可选)使用推理配置文件运行批量推理的权限
要使用推理配置文件运行批量[推理,除了推理配置文件](inference-profiles.md)中每个区域的模型外 AWS 区域,服务角色还必须有权在中调用推理配置文件。
对于使用跨区域(系统定义)的推理配置文件进行调用的权限,请针对附加到您的服务角色的权限策略,使用以下策略作为模板:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:inference-profile/{{${InferenceProfileId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}"
]
}
]
}
```
------
对于调用应用程序推理配置文件的权限,请为附加到您的服务角色的权限策略使用以下策略作为模板:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ApplicationInferenceProfile",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:application-inference-profile/{{${InferenceProfileId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}"
]
}
]
}
```
------