Erstellen Sie eine Servicerolle für den Import von vortrainierten Modellen - Amazon Bedrock
VertrauensstellungBerechtigungen für den Zugriff auf Modelldateien in Amazon S3

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine Servicerolle für den Import von vortrainierten Modellen

Um eine benutzerdefinierte Rolle für den Modellimport zu verwenden, erstellen Sie eine IAM-Dienstrolle und fügen Sie die folgenden Berechtigungen hinzu. Informationen zum Erstellen einer Servicerolle in IAM finden Sie unter Eine Rolle zum Delegieren von Berechtigungen an einen Dienst erstellen. AWS

Diese Berechtigungen gelten für beide Methoden zum Importieren von Modellen in Amazon Bedrock:

Vertrauensstellung

Die folgende Richtlinie ermöglicht es Amazon Bedrock, diese Rolle zu übernehmen und Modellimportvorgänge durchzuführen. Das folgende Beispiel zeigt eine Richtinie, die Sie verwenden können.

Sie können optional den Umfang der Berechtigung für die dienstübergreifende Prävention von verwirrten Stellvertretern einschränken, indem Sie einen oder mehrere globale Bedingungskontextschlüssel für das Condition Feld verwenden. Weitere Informationen finden Sie unter Globale AWS -Bedingungskontextschlüssel.

  • Legen Sie den Wert aws:SourceAccount auf Ihre Konto-ID fest.

  • (Optional) Verwenden Sie die ArnLike Bedingung ArnEquals oder, um den Geltungsbereich auf bestimmte Vorgänge in Ihrem Konto zu beschränken. Im folgenden Beispiel wird der Zugriff auf Importaufträge für benutzerdefinierte Modelle eingeschränkt.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-import-job/*"
                }
            }
        }
    ]
}

Berechtigungen für den Zugriff auf Modelldateien in Amazon S3

Fügen Sie die folgende Richtlinie hinzu, damit die Rolle auf Modelldateien im Amazon S3 S3-Bucket zugreifen kann. Ersetzen Sie die Werte in der Resource Liste durch Ihre tatsächlichen Bucket-Namen.

Für Importaufträge mit benutzerdefinierten Modellen ist dies Ihr eigener Amazon S3 S3-Bucket, der die benutzerdefinierten Open-Source-Modelldateien enthält. Für die Erstellung benutzerdefinierter Modelle aus SageMaker KI-trainierten Amazon Nova Modellen ist dies der von Amazon verwaltete Amazon S3-Bucket, in dem SageMaker KI die trainierten Modellartefakte speichert. SageMaker KI erstellt diesen Bucket, wenn Sie Ihren ersten SageMaker KI-Trainingsjob ausführen.

Um den Zugriff auf einen bestimmten Ordner in einem Bucket einzuschränken, fügen Sie einen s3:prefix Bedingungsschlüssel mit Ihrem Ordnerpfad hinzu. Sie können dem Beispiel für eine Benutzerrichtlinie in Beispiel 2 folgen: Abrufen einer Liste von Objekten in einem Bucket mit einem bestimmten Präfix

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "account-id"
                }
            }
        }
    ]
}