Creación de un rol de servicio para la importación de modelos preentrenados - Amazon Bedrock
Relación de confianzaPermisos para acceder a archivos de modelos en Amazon S3

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de un rol de servicio para la importación de modelos preentrenados

Para utilizar un rol personalizado para la importación de modelos, cree un rol de servicio de IAM y asocie los siguientes permisos. Para obtener información sobre cómo crear un rol de servicio en IAM, consulte Crear un rol para delegar permisos a un AWS servicio.

Estos permisos se aplican a ambos métodos de importación de modelos de Amazon Bedrock:

Relación de confianza

La siguiente política permite a Amazon Bedrock asumir este rol y realizar las operaciones de importación de modelos. A continuación se muestra un ejemplo de política que puede utilizar.

De forma opcional, puede restringir el alcance del permiso para evitar que se produzcan errores confusos entre servicios mediante el uso de una o más claves de contexto de condiciones globales en el campo Condition. Para obtener más información, consulte las claves de contexto de condición globales de AWS.

  • Configure el valor aws:SourceAccount en el ID de su cuenta.

  • (Opcional) Utilice la condición ArnEquals o ArnLike para restringir el alcance a operaciones específicas de su cuenta. En el siguiente ejemplo se restringe el acceso a los trabajos de importación de modelos personalizados.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-import-job/*"
                }
            }
        }
    ]
}

Permisos para acceder a archivos de modelos en Amazon S3

Asocie la siguiente política para permitir que el rol acceda a los archivos de modelos de un bucket de Amazon S3. Sustituya los valores de la lista Resource por los nombres reales de los buckets.

Para los trabajos de importación de modelos personalizados, este es su propio bucket de Amazon S3 que contiene los archivos de modelo de código abierto personalizados. Para crear modelos personalizados a partir de Amazon Nova modelos SageMaker entrenados por IA, este es el depósito Amazon S3 gestionado por Amazon, SageMaker donde la IA almacena los artefactos del modelo entrenado. SageMaker La IA crea este depósito cuando realizas tu primer SageMaker trabajo de formación en IA.

Para restringir el acceso a una carpeta específica de un bucket, añada una clave de condición s3:prefix a la ruta de la carpeta. Puede seguir el ejemplo de la Política de usuario en el Ejemplo 2: obtener una lista de objetos en un bucket con un prefijo específico.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}