Création d’un rôle de service pour l’importation de modèles pré-entraînés - Amazon Bedrock
Relation d’approbationAutorisations d’accès aux fichiers modèles dans Amazon S3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d’un rôle de service pour l’importation de modèles pré-entraînés

Pour utiliser un rôle personnalisé pour l’importation de modèles, créez un rôle de service IAM et associez les autorisations suivantes. Pour plus d'informations sur la création d'un rôle de service dans IAM, voir Création d'un rôle pour déléguer des autorisations à un AWS service.

Ces autorisations s’appliquent aux deux méthodes d’importation de modèles dans Amazon Bedrock :

Relation d’approbation

La politique suivante autorise Amazon Bedrock à endosser ce rôle et à effectuer des opérations d’importation de modèles. L’exemple suivant illustre un exemple de politique que vous pouvez utiliser.

Vous pouvez éventuellement restreindre la portée de l’autorisation pour la prévention des conflits de délégation entre services en utilisant une ou plusieurs clés de contexte de condition globales avec le champ Condition. Pour plus d’informations, consultez Clés contextuelles de condition globale AWS.

  • Définissez la valeur aws:SourceAccount sur l’ID de votre compte.

  • (Facultatif) Utilisez la condition ArnEquals ou ArnLike pour restreindre la portée aux opérations spécifiques dans votre compte. L’exemple suivant restreint l’accès aux tâches d’importation de modèles personnalisés.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-import-job/*"
                }
            }
        }
    ]
}

Autorisations d’accès aux fichiers modèles dans Amazon S3

Ajoutez la politique suivante pour permettre au rôle d’accéder aux fichiers modèles dans le compartiment Amazon S3. Remplacez les valeurs de la liste Resource par les noms de vos compartiments réels.

Pour les tâches d’importation de modèles personnalisés, il s’agit de votre propre compartiment Amazon S3 contenant les fichiers modèles open source personnalisés. Pour créer des modèles personnalisés à partir de Amazon Nova modèles SageMaker entraînés par l'IA, il s'agit du compartiment Amazon S3 géré par Amazon dans SageMaker lequel l'IA stocke les artefacts du modèle entraîné. SageMaker L'IA crée ce compartiment lorsque vous exécutez votre premier job de formation en SageMaker IA.

Pour restreindre l’accès à un dossier spécifique dans un compartiment, ajoutez une clé de condition s3:prefix avec le chemin de votre dossier. Vous pouvez suivre l’exemple de stratégie utilisateur dans Exemple 2 : Obtention d’une liste d’objets dans un compartiment avec un préfixe spécifique

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}