Cree un rol de servicio para importar modelos previamente entrenados - Amazon Bedrock
Relación de confianzaPermisos para acceder a los archivos de modelos en Amazon S3

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cree un rol de servicio para importar modelos previamente entrenados

Para utilizar un rol personalizado para la importación de modelos, cree un rol de servicio de IAM y adjunte los siguientes permisos. Para obtener información sobre cómo crear un rol de servicio en IAM, consulte Crear un rol para delegar permisos a un AWS servicio.

Estos permisos se aplican a ambos métodos de importación de modelos a Amazon Bedrock:

Relación de confianza

La siguiente política permite a Amazon Bedrock asumir esta función y llevar a cabo operaciones de importación modelo. A continuación se muestra un ejemplo de política que puede utilizar.

De forma opcional, puede restringir el alcance del permiso para evitar que se produzcan errores confusos entre servicios mediante el uso de una o más claves de contexto de condiciones globales en el campo Condition. Para obtener más información, consulte las claves de contexto de condición globales de AWS.

  • Configure el valor aws:SourceAccount en el ID de su cuenta.

  • (Opcional) Utilice la ArnLike condición ArnEquals o para restringir el alcance a operaciones específicas en su cuenta. El siguiente ejemplo restringe el acceso a los trabajos de importación de modelos personalizados.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-import-job/*"
                }
            }
        }
    ]
}

Permisos para acceder a los archivos de modelos en Amazon S3

Adjunte la siguiente política para permitir que el rol acceda a los archivos del modelo en el bucket de Amazon S3. Sustituya los valores de la lista Resource por los nombres reales de los buckets.

Para los trabajos de importación de modelos personalizados, este es su propio depósito de Amazon S3 que contiene los archivos de modelo de código abierto personalizados. Para crear modelos personalizados a partir de Amazon Nova modelos SageMaker entrenados por IA, este es el depósito Amazon S3 gestionado por Amazon, SageMaker donde la IA almacena los artefactos del modelo entrenado. SageMaker La IA crea este depósito cuando realizas tu primer SageMaker trabajo de formación en IA.

Para restringir el acceso a una carpeta específica de un bucket, añada una clave de condición s3:prefix a la ruta de la carpeta. Puede seguir el ejemplo de la Política de usuario en el Ejemplo 2: obtener una lista de objetos en un bucket con un prefijo específico.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}