Creación de un rol de servicio para la importación de modelos preentrenados - Amazon Bedrock
Relación de confianzaPermisos para acceder a archivos de modelos en Amazon S3

Creación de un rol de servicio para la importación de modelos preentrenados

Para utilizar un rol personalizado para la importación de modelos, cree un rol de servicio de IAM y asocie los siguientes permisos. Si desea obtener más información acerca de la creación de un rol de servicio en IAM, consulte Creación de un rol para delegar permisos a un servicio de AWS.

Estos permisos se aplican a ambos métodos de importación de modelos de Amazon Bedrock:

Relación de confianza

La siguiente política permite a Amazon Bedrock asumir este rol y realizar las operaciones de importación de modelos. A continuación se muestra un ejemplo de política que puede utilizar.

De forma opcional, puede restringir el alcance del permiso para evitar que se produzcan errores confusos entre servicios mediante el uso de una o más claves de contexto de condiciones globales en el campo Condition. Para obtener más información, consulte las claves de contexto de condición globales de AWS.

  • Configure el valor aws:SourceAccount en el ID de su cuenta.

  • (Opcional) Utilice la condición ArnEquals o ArnLike para restringir el alcance a operaciones específicas de su cuenta. En el siguiente ejemplo se restringe el acceso a los trabajos de importación de modelos personalizados.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-import-job/*"
                }
            }
        }
    ]
}

Permisos para acceder a archivos de modelos en Amazon S3

Asocie la siguiente política para permitir que el rol acceda a los archivos de modelos de un bucket de Amazon S3. Sustituya los valores de la lista Resource por los nombres reales de los buckets.

Para los trabajos de importación de modelos personalizados, este es su propio bucket de Amazon S3 que contiene los archivos de modelo de código abierto personalizados. Para crear modelos personalizados a partir de modelos de Amazon Nova preentrenados por SageMaker AI, este es el bucket de Amazon S3 administrado por Amazon donde SageMaker AI almacena los artefactos del modelo entrenado. SageMaker AI crea este bucket cuando ejecuta su primer trabajo de entrenamiento de SageMaker AI.

Para restringir el acceso a una carpeta específica de un bucket, añada una clave de condición s3:prefix a la ruta de la carpeta. Puede seguir el ejemplo de la Política de usuario en el Ejemplo 2: obtener una lista de objetos en un bucket con un prefijo específico.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}