Erstellen einer Servicerolle für den Import von vortrainierten Modellen - Amazon Bedrock
VertrauensstellungBerechtigungen für den Zugriff auf Modelldateien in Amazon S3

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen einer Servicerolle für den Import von vortrainierten Modellen

Wenn Sie eine benutzerdefinierte Rolle für den Modellimport verwenden möchten, erstellen Sie eine IAM-Servicerolle und fügen Sie ihr die folgenden Berechtigungen an. Informationen zum Erstellen einer Servicerolle in IAM finden Sie unter Eine Rolle zum Delegieren von Berechtigungen für einen AWS Dienst erstellen.

Diese Berechtigungen gelten für beide Methoden zum Importieren von Modellen in Amazon Bedrock:

Vertrauensstellung

Mit der folgenden Richtlinie kann Amazon Bedrock diese Rolle übernehmen und Modellimportoperationen ausführen. Das folgende Beispiel zeigt eine Richtlinie, die Sie verwenden können.

Sie können optional den Geltungsbereich der Berechtigung für die Vermeidung von serviceübergreifenden Confused-Deputy-Problemen einschränken, indem Sie einen oder mehrere globale Bedingungskontextschlüssel mit dem Feld Condition verwenden. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel.

  • Legen Sie den Wert aws:SourceAccount auf Ihre Konto-ID fest.

  • (Optional) Verwenden Sie die Bedingung ArnEquals oder ArnLike, um den Geltungsbereich auf bestimmte Operationen in Ihrem Konto zu beschränken. Im folgenden Beispiel wird der Zugriff auf Importaufträge für benutzerdefinierte Modelle beschränkt.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-import-job/*"
                }
            }
        }
    ]
}

Berechtigungen für den Zugriff auf Modelldateien in Amazon S3

Hängen Sie die folgende Richtlinie an, um der Rolle den Zugriff auf Modelldateien im Amazon-S3-Bucket zu erlauben: Ersetzen Sie die Werte in der Liste Resource durch Ihre tatsächlichen Bucket-Namen.

Für Importaufträge mit benutzerdefinierten Modellen ist dies Ihr eigener Amazon-S3-Bucket, der die benutzerdefinierten Open-Source-Modelldateien enthält. Für die Erstellung benutzerdefinierter Modelle aus SageMaker KI-trainierten Amazon Nova Modellen ist dies der von Amazon verwaltete Amazon S3-Bucket, in dem SageMaker KI die trainierten Modellartefakte speichert. SageMaker KI erstellt diesen Bucket, wenn Sie Ihren ersten SageMaker KI-Trainingsjob ausführen.

Um den Zugriff auf einen bestimmten Ordner in einem Bucket einzuschränken, fügen Sie den Bedingungsschlüssel s3:prefix mit Ihrem Ordnerpfad hinzu. Sie können dem Beispiel einer Benutzerrichtlinie in Beispiel 2: Abrufen einer Liste von Objekten in einem Bucket mit einem bestimmten Präfix folgen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}