Création d’un rôle de service pour la personnalisation du modèle - Amazon Bedrock
Relation d’approbationAutorisations d’accès aux fichiers d’entraînement et de validation et d’écriture de fichiers de sortie dans S3(Facultatif) Autorisations pour créer une tâche de distillation avec des profils d’inférence interrégionale

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d’un rôle de service pour la personnalisation du modèle

Pour utiliser un rôle personnalisé pour la personnalisation du modèle au lieu de celui créé automatiquement par Amazon Bedrock, créez un rôle IAM et associez les autorisations suivantes en suivant les étapes de la section Création d'un rôle pour déléguer des autorisations à un AWS service.

  • Relation d’approbation

  • Autorisations d’accès à vos données d’entraînement et de validation dans S3 et d’écriture de vos données de sortie sur S3

  • (Facultatif) Si vous chiffrez l’une des ressources suivantes avec une clé KMS, autorisations permettant de déchiffrer la clé (voir Chiffrement de modèles personnalisés)

    • Tâche de personnalisation du modèle ou modèle personnalisé qui en résulte

    • Données d’entraînement, de validation ou de sortie pour la tâche de personnalisation du modèle

Relation d’approbation

La politique suivante autorise Amazon Bedrock à endosser ce rôle et à effectuer la tâche de personnalisation du modèle. L’exemple suivant illustre un exemple de politique que vous pouvez utiliser.

Vous pouvez éventuellement restreindre la portée de l’autorisation pour la prévention des conflits de délégation entre services en utilisant une ou plusieurs clés de contexte de condition globales avec le champ Condition. Pour plus d’informations, consultez Clés contextuelles de condition globale AWS.

  • Définissez la valeur aws:SourceAccount sur l’ID de votre compte.

  • (Facultatif) Utilisez la condition ArnEquals ou ArnLike pour limiter la portée à des tâches de personnalisation de modèles spécifiques dans votre ID de compte.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-customization-job/*"
                }
            }
        }
    ]
}

Autorisations d’accès aux fichiers d’entraînement et de validation et d’écriture de fichiers de sortie dans S3

Associez la politique suivante pour autoriser le rôle à accéder à vos données d’entraînement et de validation et au compartiment dans lequel enregistrer vos données de sortie. Remplacez les valeurs de la liste Resource par les noms de vos compartiments réels.

Pour restreindre l’accès à un dossier spécifique dans un compartiment, ajoutez une clé de condition s3:prefix avec le chemin de votre dossier. Vous pouvez suivre l’exemple de stratégie utilisateur dans Exemple 2 : Obtention d’une liste d’objets dans un compartiment avec un préfixe spécifique

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::training-bucket",
                "arn:aws:s3:::training-bucket/*",
                "arn:aws:s3:::validation-bucket",
                "arn:aws:s3:::validation-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::output-bucket",
                "arn:aws:s3:::output-bucket/*"
            ]
        }
    ]
}

(Facultatif) Autorisations pour créer une tâche de distillation avec des profils d’inférence interrégionale

Pour utiliser un profil d'inférence interrégional pour un modèle d'enseignant dans le cadre d'une tâche de distillation, le rôle de service doit être autorisé à invoquer le profil d'inférence dans unRégion AWS, en plus du modèle de chaque région dans le profil d'inférence.

Pour obtenir les autorisations nécessaires à l’invocation d’un profil d’inférence entre régions (défini par le système), utilisez la stratégie suivante comme modèle pour la stratégie d’autorisation à associer à votre rôle de service :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
            ]
        }
    ]
}