Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Zugriff und Sicherheit bei der Modellanpassung
Diese Seite bietet umfassende Sicherheits- und Berechtigungsinformationen für alle Arten der Amazon Bedrock-Modellanpassung, einschließlich Feinabstimmung, Verstärkungsfeinabstimmung, Destillation und Modelloperationen. Bevor Sie mit der Anpassung eines Modells beginnen, sollten Sie wissen, welche Art von Zugriff Amazon Bedrock erfordert. Ziehen Sie einige Optionen zum Schützen Ihrer Anpassungsaufträge und -artefakte in Betracht.
Die folgenden Abschnitte enthalten die Berechtigungen, die für verschiedene Anpassungsszenarien erforderlich sind. Wählen Sie die entsprechenden Berechtigungen für Ihren spezifischen Anwendungsfall aus:
## Grundlegende Berechtigungen zur Modellanpassung
Für alle Modellanpassungsaufträge sind diese grundlegenden Berechtigungen erforderlich. Diese gelten für die Feinabstimmung, Destillation und andere Anpassungsarten.
### Erstellen einer IAM-Servicerolle für die Modellanpassung
Amazon Bedrock benötigt eine AWS Identity and Access Management (IAM) -Servicerolle, um auf den S3-Bucket zuzugreifen, in dem Sie Ihre Trainings- und Validierungsdaten zur Modellanpassung speichern möchten. Hierzu gibt es mehrere Möglichkeiten:
+ Erstellen Sie die Servicerolle automatisch mithilfe von AWS-Managementkonsole.
+ Erstellen Sie die Servicerolle manuell mit den entsprechenden Berechtigungen für den Zugriff auf den S3-Bucket.
Für die manuelle Option erstellen Sie eine IAM-Rolle und fügen Sie die folgenden Berechtigungen hinzu, indem Sie die Schritte unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Service befolgen. AWS
+ Vertrauensstellung
+ Berechtigungen zum Zugriff auf Ihre Trainings- und Validierungsdaten in S3 und zum Schreiben Ihrer Ausgabedaten in S3
+ (Optional) Berechtigungen zum Entschlüsseln des Schlüssels, wenn Sie eine der folgenden Ressourcen mit einem KMS-Schlüssel verschlüsseln (siehe [Verschlüsselung benutzerdefinierter Modelle](encryption-custom-job.md))
+ Ein Auftrag zur Modellanpassung oder das daraus resultierende benutzerdefinierte Modell
+ Die Trainings-, Validierungs- und Ausgabedaten für den Auftrag zur Modellanpassung
### Vertrauensstellung
Mit der folgenden Richtlinie kann Amazon Bedrock diese Rolle übernehmen und den Auftrag zur Modellanpassung ausführen. Das folgende Beispiel zeigt eine Richtlinie, die Sie verwenden können.
Sie können optional den Geltungsbereich der Berechtigung für die [ Vermeidung von serviceübergreifenden Confused-Deputy-Problemen](cross-service-confused-deputy-prevention.md) einschränken, indem Sie einen oder mehrere globale Bedingungskontextschlüssel mit dem Feld `Condition` verwenden. Weitere Informationen finden Sie unter [Globale AWS -Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
+ Legen Sie den Wert `aws:SourceAccount` auf Ihre Konto-ID fest.
+ (Optional) Verwenden Sie die Bedingung `ArnEquals` oder `ArnLike`, um den Geltungsbereich auf bestimmte Modellanpassungsaufträge in Ihrer Konto-ID zu beschränken.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-customization-job/*"
}
}
}
]
}
```
------
### Berechtigungen zum Zugriff auf Trainings- und Validierungsdateien und zum Schreiben von Ausgabedateien in S3
Fügen Sie die folgende Richtlinie an, damit die Rolle auf Ihre Trainings- und Validierungsdaten und auf den Bucket zugreifen kann, in den Sie Ihre Ausgabedaten schreiben möchten. Ersetzen Sie die Werte in der Liste `Resource` durch Ihre tatsächlichen Bucket-Namen.
Um den Zugriff auf einen bestimmten Ordner in einem Bucket einzuschränken, fügen Sie den Bedingungsschlüssel `s3:prefix` mit Ihrem Ordnerpfad hinzu. Sie können dem Beispiel einer **Benutzerrichtlinie** in [Beispiel 2: Abrufen einer Liste von Objekten in einem Bucket mit einem bestimmten Präfix](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2) folgen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::training-bucket",
"arn:aws:s3:::training-bucket/*",
"arn:aws:s3:::validation-bucket",
"arn:aws:s3:::validation-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::output-bucket",
"arn:aws:s3:::output-bucket/*"
]
}
]
}
```
------
## Modellieren Sie Berechtigungen zum Kopieren
Um ein Modell in eine andere Region zu kopieren, benötigen Sie je nach den aktuellen Berechtigungen Ihrer Rolle und der Konfiguration des Modells bestimmte Berechtigungen.
1. Wenn Ihre Rolle nicht mit der [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)Richtlinie verknüpft ist, fügen Sie der Rolle die folgende identitätsbasierte Richtlinie hinzu, um nur minimale Berechtigungen zum Kopieren von Modellen und zum Nachverfolgen von Kopieraufträgen zu gewähren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CopyModels",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCopyJob",
"bedrock:GetModelCopyJob",
"bedrock:ListModelCopyJobs"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/model-id"
],
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"us-east-1"
]
}
}
}
]
}
```
------
1. (Optional) Wenn das zu kopierende Modell mit einem KMS-Schlüssel verschlüsselt ist, fügen Sie dem [KMS-Schlüssel, mit dem das Modell verschlüsselt wurde, eine Schlüsselrichtlinie](encryption-custom-job.md#encryption-key-policy-decrypt) hinzu, damit eine Rolle das Modell entschlüsseln kann.
1. (Optional) Wenn Sie die Modellkopie mit einem KMS-Schlüssel verschlüsseln möchten, fügen Sie dem [KMS-Schlüssel, mit dem das Modell verschlüsselt werden soll, eine Schlüsselrichtlinie](encryption-custom-job.md#encryption-key-policy-encrypt) hinzu, damit eine Rolle das Modell mit dem Schlüssel verschlüsseln kann.
## Berechtigungen für regionsübergreifende Inferenzprofile
Um ein regionsübergreifendes Inferenzprofil für ein Lehrermodell in einem Destillationsjob verwenden zu können, muss die Servicerolle zusätzlich zum Modell in jeder Region im Inferenzprofil über Berechtigungen zum Aufrufen des Inferenzprofils in einem AWS-Region verfügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
]
}
]
}
```
------
## (Optional) Berechtigungen zum Erstellen eines Destillationsauftrags mit einem regionsübergreifenden Inferenzprofil
Um ein regionsübergreifendes Inferenzprofil für ein Lehrermodell in einer Destillationsstelle verwenden zu können, muss die Servicerolle zusätzlich zu dem Modell in jeder Region im Inferenzprofil über Berechtigungen zum Aufrufen des Inferenzprofils in einer AWS-Region verfügen.
Damit Berechtigungen mit einem regionsübergreifenden (systemdefinierten) Inferenzprofil aufgerufen werden können, verwenden Sie die folgende Richtlinie als Vorlage für die Berechtigungsrichtlinie, die Sie an die Servicerolle anhängen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
]
}
]
}
```
------
## (Optional) Verschlüsseln von Modellanpassungsaufträgen und -artefakten
Verschlüsseln Sie die Eingabe- und Ausgabedaten, Anpassungsaufträge oder Inferenzanforderungen für benutzerdefinierte Modelle. Weitere Informationen finden Sie unter [Verschlüsselung benutzerdefinierter Modelle](encryption-custom-job.md).
## (Optional) Schützen der Modellanpassungsaufträge mit einer VPC
Wenn Sie einen Modellanpassungsauftrag ausführen, greift der Auftrag auf Ihren Amazon-S3-Bucket zu, um die Eingabedaten herunter- und Auftragsmetriken hochzuladen. Wenn Sie den Zugriff auf Ihre Daten kontrollieren möchten, empfehlen wir Ihnen, eine Virtual Private Cloud (VPC) mit [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) zu erstellen. Sie können Ihre Daten zusätzlich schützen, indem Sie Ihre VPC so konfigurieren, dass Ihre Daten nicht über das Internet verfügbar sind, und stattdessen einen VPC-Schnittstellenendpunkt mit [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) erstellen, um eine private Verbindung zu Ihren Daten herzustellen. Weitere Informationen zur AWS PrivateLink Integration von Amazon VPC mit Amazon Bedrock finden Sie unter. [Schützen Ihrer Daten mit Amazon VPC und AWS PrivateLink](usingVPC.md)
Führen Sie die folgenden Schritte aus, um eine VPC für die Trainings-, Validierungs- und Ausgabedaten Ihrer Modellanpassungsaufträge zu konfigurieren und zu verwenden.
**Topics**
+ [Einrichten der VPC zum Schützen der Daten bei der Modellanpassung](#vpc-cm-setup)
+ [Anfügen von VPC-Berechtigungen an eine Modelanpassungsrolle](#vpc-data-access-role)
+ [Hinzufügen einer VPC-Konfiguration bei der Übermittlung eines Modellanpassungsauftrags](#vpc-config)
### Einrichten der VPC zum Schützen der Daten bei der Modellanpassung
Zum Einrichten einer VPC befolgen Sie die Schritte unter [Einrichten einer VPC](usingVPC.md#create-vpc). Sie können Ihre VPC noch zusätzlich schützen, indem Sie einen S3-VPC-Endpunkt einrichten und ressourcenbasierte IAM-Richtlinien verwenden, um den Zugriff auf den S3-Bucket einzuschränken, der die Modellanpassungsdaten enthält. Führen Sie dazu die Schritte unter [(Beispiel) Beschränken des Datenzugriffs auf Ihre Amazon-S3-Daten mit VPC](vpc-s3.md) aus.
### Anfügen von VPC-Berechtigungen an eine Modelanpassungsrolle
Nachdem Sie die Einrichtung Ihrer VPC abgeschlossen haben, fügen Sie die folgenden Berechtigungen zu Ihrer [Modellanpassungs-Servicerolle](model-customization-iam-role.md) hinzu, damit diese auf die VPC zugreifen kann. Ändern Sie diese Richtlinie so, dass nur Zugriff auf die VPC-Ressourcen gewährt wird, die Ihr Auftrag benötigt. Ersetzen Sie das *\$1\$1\$1subnet-ids\$1\$1* und *security-group-id* durch die Werte aus Ihrer VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/BedrockManaged": [
"true"
]
},
"ArnEquals": {
"aws:RequestTag/BedrockModelCustomizationJobArn": [
"arn:aws:bedrock:us-east-1:123456789012:model-customization-job/*"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id",
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2",
"arn:aws:ec2:us-east-1:123456789012:security-group/security-group-id"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id",
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2"
],
"ec2:ResourceTag/BedrockModelCustomizationJobArn": [
"arn:aws:bedrock:us-east-1:123456789012:model-customization-job/*"
]
},
"StringEquals": {
"ec2:ResourceTag/BedrockManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"CreateNetworkInterface"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"BedrockManaged",
"BedrockModelCustomizationJobArn"
]
}
}
}
]
}
```
------
### Hinzufügen einer VPC-Konfiguration bei der Übermittlung eines Modellanpassungsauftrags
Nachdem Sie die VPC und die erforderlichen Rollen und Berechtigungen wie in den vorherigen Abschnitten beschrieben konfiguriert haben, können Sie einen Modellanpassungsauftrag erstellen, der diese VPC verwendet.
Wenn Sie die VPC-Subnetze und Sicherheitsgruppen für einen Job angeben, erstellt Amazon Bedrock *elastische Netzwerkschnittstellen* (ENIs), die Ihren Sicherheitsgruppen in einem der Subnetze zugeordnet sind. ENIs Erlauben Sie dem Amazon Bedrock-Job, eine Verbindung zu Ressourcen in Ihrer VPC herzustellen. Weitere Informationen dazu ENIs finden Sie unter [Elastic Network Interfaces](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) im *Amazon VPC-Benutzerhandbuch*. Amazon Bedrock-Tags ENIs , die es mit `BedrockManaged` und `BedrockModelCustomizationJobArn` tags erstellt.
Wir empfehlen, mindestens ein Subnetz in jeder Availability Zone zur Verfügung zu stellen.
Sie können Sicherheitsgruppen verwenden, um Regeln für die Steuerung des Zugriffs von Amazon Bedrock auf Ihre VPC-Ressourcen festzulegen.
Sie können die VPC entweder in der Konsole oder über die API konfigurieren. Wählen Sie die Registerkarte für Ihre bevorzugte Methode aus und führen Sie dann die folgenden Schritte aus:
------
#### [ Console ]
Für die Amazon-Bedrock-Konsole geben Sie VPC-Subnetze und Sicherheitsgruppen im optionalen Abschnitt **VPC-Einstellungen** an, wenn Sie den Modellanpassungsauftrag erstellen. Weitere Informationen zum Konfigurieren von Aufträgen finden Sie unter [Reichen Sie einen Auftrag zur Modellanpassung zur Feinabstimmung ein](model-customization-submit.md).
**Anmerkung**
Bei Aufträgen, die eine VPC-Konfiguration beinhalten, kann die Konsole nicht automatisch eine Servicerolle für Sie erstellen. Folgen Sie der Anleitung unter [Erstellen einer Servicerolle für die Modellanpassung](model-customization-iam-role.md), um eine benutzerdefinierte Rolle zu erstellen.
------
#### [ API ]
Wenn Sie eine [CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)Anfrage einreichen, können Sie einen `VpcConfig` als Anforderungsparameter angeben, um die zu verwendenden VPC-Subnetze und Sicherheitsgruppen anzugeben, wie im folgenden Beispiel.
```
"vpcConfig": {
"securityGroupIds": [
"${{sg-0123456789abcdef0}}"
],
"subnets": [
"${{subnet-0123456789abcdef0}}",
"${{subnet-0123456789abcdef1}}",
"${{subnet-0123456789abcdef2}}"
]
}
```
------