Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen einer Servicerolle für die Modellanpassung
Um anstelle der von Amazon Bedrock automatisch erstellten Rolle eine benutzerdefinierte Rolle für die Modellanpassung zu verwenden, erstellen Sie eine IAM-Rolle und fügen Sie die folgenden Berechtigungen hinzu, indem Sie die Schritte unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) einen Service befolgen. AWS
+ Vertrauensstellung
+ Berechtigungen zum Zugriff auf Ihre Trainings- und Validierungsdaten in S3 und zum Schreiben Ihrer Ausgabedaten in S3
+ (Optional) Berechtigungen zum Entschlüsseln des Schlüssels, wenn Sie eine der folgenden Ressourcen mit einem KMS-Schlüssel verschlüsseln (siehe [Verschlüsselung benutzerdefinierter Modelle](encryption-custom-job.md))
+ Ein Auftrag zur Modellanpassung oder das daraus resultierende benutzerdefinierte Modell
+ Die Trainings-, Validierungs- und Ausgabedaten für den Auftrag zur Modellanpassung
**Topics**
+ [Vertrauensstellung](#model-customization-iam-role-trust)
+ [Berechtigungen zum Zugriff auf Trainings- und Validierungsdateien und zum Schreiben von Ausgabedateien in S3](#model-customization-iam-role-s3)
+ [(Optional) Berechtigungen zum Erstellen eines Destillationsauftrags mit einem regionsübergreifenden Inferenzprofil](#customization-iam-sr-ip)
## Vertrauensstellung
Mit der folgenden Richtlinie kann Amazon Bedrock diese Rolle übernehmen und den Auftrag zur Modellanpassung ausführen. Das folgende Beispiel zeigt eine Richtlinie, die Sie verwenden können.
Sie können optional den Geltungsbereich der Berechtigung für die [ Vermeidung von serviceübergreifenden Confused-Deputy-Problemen](cross-service-confused-deputy-prevention.md) einschränken, indem Sie einen oder mehrere globale Bedingungskontextschlüssel mit dem Feld `Condition` verwenden. Weitere Informationen finden Sie unter [Globale AWS-Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
+ Legen Sie den Wert `aws:SourceAccount` auf Ihre Konto-ID fest.
+ (Optional) Verwenden Sie die Bedingung `ArnEquals` oder `ArnLike`, um den Geltungsbereich auf bestimmte Modellanpassungsaufträge in Ihrer Konto-ID zu beschränken.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:{{111122223333}}:model-customization-job/*"
}
}
}
]
}
```
------
## Berechtigungen zum Zugriff auf Trainings- und Validierungsdateien und zum Schreiben von Ausgabedateien in S3
Fügen Sie die folgende Richtlinie an, damit die Rolle auf Ihre Trainings- und Validierungsdaten und auf den Bucket zugreifen kann, in den Sie Ihre Ausgabedaten schreiben möchten. Ersetzen Sie die Werte in der Liste `Resource` durch Ihre tatsächlichen Bucket-Namen.
Um den Zugriff auf einen bestimmten Ordner in einem Bucket einzuschränken, fügen Sie den Bedingungsschlüssel `s3:prefix` mit Ihrem Ordnerpfad hinzu. Sie können dem Beispiel einer **Benutzerrichtlinie** in [Beispiel 2: Abrufen einer Liste von Objekten in einem Bucket mit einem bestimmten Präfix](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2) folgen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{training-bucket}}",
"arn:aws:s3:::{{training-bucket/*}}",
"arn:aws:s3:::{{validation-bucket}}",
"arn:aws:s3:::{{validation-bucket/*}}"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{output-bucket}}",
"arn:aws:s3:::{{output-bucket/*}}"
]
}
]
}
```
------
## (Optional) Berechtigungen zum Erstellen eines Destillationsauftrags mit einem regionsübergreifenden Inferenzprofil
Um ein regionsübergreifendes Inferenzprofil für ein Lehrermodell in einem Destillationsjob zu verwenden, muss die Servicerolle zusätzlich zum Modell in jeder Region im Inferenzprofil über Berechtigungen zum Aufrufen des Inferenzprofils in einer AWS-Region verfügen.
Damit Berechtigungen mit einem regionsübergreifenden (systemdefinierten) Inferenzprofil aufgerufen werden können, verwenden Sie die folgende Richtlinie als Vorlage für die Berechtigungsrichtlinie, die Sie an die Servicerolle anhängen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:inference-profile/{{${InferenceProfileId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}"
]
}
]
}
```
------