Erstellen einer Servicerolle für die Modellanpassung - Amazon Bedrock
VertrauensstellungBerechtigungen zum Zugriff auf Trainings- und Validierungsdateien und zum Schreiben von Ausgabedateien in S3(Optional) Berechtigungen zum Erstellen eines Destillationsauftrags mit einem regionsübergreifenden Inferenzprofil

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen einer Servicerolle für die Modellanpassung

Um anstelle der von Amazon Bedrock automatisch erstellten Rolle eine benutzerdefinierte Rolle für die Modellanpassung zu verwenden, erstellen Sie eine IAM-Rolle und fügen Sie die folgenden Berechtigungen hinzu, indem Sie die Schritte unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen Service befolgen. AWS

  • Vertrauensstellung

  • Berechtigungen zum Zugriff auf Ihre Trainings- und Validierungsdaten in S3 und zum Schreiben Ihrer Ausgabedaten in S3

  • (Optional) Berechtigungen zum Entschlüsseln des Schlüssels, wenn Sie eine der folgenden Ressourcen mit einem KMS-Schlüssel verschlüsseln (siehe Verschlüsselung benutzerdefinierter Modelle)

    • Ein Auftrag zur Modellanpassung oder das daraus resultierende benutzerdefinierte Modell

    • Die Trainings-, Validierungs- und Ausgabedaten für den Auftrag zur Modellanpassung

Vertrauensstellung

Mit der folgenden Richtlinie kann Amazon Bedrock diese Rolle übernehmen und den Auftrag zur Modellanpassung ausführen. Das folgende Beispiel zeigt eine Richtlinie, die Sie verwenden können.

Sie können optional den Geltungsbereich der Berechtigung für die Vermeidung von serviceübergreifenden Confused-Deputy-Problemen einschränken, indem Sie einen oder mehrere globale Bedingungskontextschlüssel mit dem Feld Condition verwenden. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel.

  • Legen Sie den Wert aws:SourceAccount auf Ihre Konto-ID fest.

  • (Optional) Verwenden Sie die Bedingung ArnEquals oder ArnLike, um den Geltungsbereich auf bestimmte Modellanpassungsaufträge in Ihrer Konto-ID zu beschränken.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-customization-job/*"
                }
            }
        }
    ]
}

Berechtigungen zum Zugriff auf Trainings- und Validierungsdateien und zum Schreiben von Ausgabedateien in S3

Fügen Sie die folgende Richtlinie an, damit die Rolle auf Ihre Trainings- und Validierungsdaten und auf den Bucket zugreifen kann, in den Sie Ihre Ausgabedaten schreiben möchten. Ersetzen Sie die Werte in der Liste Resource durch Ihre tatsächlichen Bucket-Namen.

Um den Zugriff auf einen bestimmten Ordner in einem Bucket einzuschränken, fügen Sie den Bedingungsschlüssel s3:prefix mit Ihrem Ordnerpfad hinzu. Sie können dem Beispiel einer Benutzerrichtlinie in Beispiel 2: Abrufen einer Liste von Objekten in einem Bucket mit einem bestimmten Präfix folgen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::training-bucket",
                "arn:aws:s3:::training-bucket/*",
                "arn:aws:s3:::validation-bucket",
                "arn:aws:s3:::validation-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::output-bucket",
                "arn:aws:s3:::output-bucket/*"
            ]
        }
    ]
}

(Optional) Berechtigungen zum Erstellen eines Destillationsauftrags mit einem regionsübergreifenden Inferenzprofil

Um ein regionsübergreifendes Inferenzprofil für ein Lehrermodell in einem Destillationsjob zu verwenden, muss die Servicerolle zusätzlich zum Modell in jeder Region im Inferenzprofil über Berechtigungen zum Aufrufen des Inferenzprofils in einer AWS-Region verfügen.

Damit Berechtigungen mit einem regionsübergreifenden (systemdefinierten) Inferenzprofil aufgerufen werden können, verwenden Sie die folgende Richtlinie als Vorlage für die Berechtigungsrichtlinie, die Sie an die Servicerolle anhängen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
            ]
        }
    ]
}