Création d'un rôle de service pour l'importation de modèles préentraînés - Amazon Bedrock
Relation d'approbationAutorisations d'accès aux fichiers de modèles dans Amazon S3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un rôle de service pour l'importation de modèles préentraînés

Pour utiliser un rôle personnalisé pour l'importation de modèles, créez un rôle de service IAM et associez les autorisations suivantes. Pour plus d'informations sur la création d'un rôle de service dans IAM, voir Création d'un rôle pour déléguer des autorisations à un AWS service.

Ces autorisations s'appliquent aux deux méthodes d'importation de modèles dans Amazon Bedrock :

Relation d'approbation

La politique suivante permet à Amazon Bedrock d'assumer ce rôle et d'effectuer des opérations d'importation de modèles. L'exemple suivant illustre un exemple de politique que vous pouvez utiliser.

Vous pouvez éventuellement restreindre l'étendue de l'autorisation pour la prévention de la confusion entre les services en utilisant une ou plusieurs clés contextuelles de condition globales avec le Condition champ. Pour plus d’informations, consultez Clés contextuelles de condition globale AWS.

  • Définissez la valeur aws:SourceAccount sur l'ID de votre compte.

  • (Facultatif) Utilisez la ArnLike condition ArnEquals ou pour limiter le champ d'application à des opérations spécifiques sur votre compte. L'exemple suivant restreint l'accès aux tâches d'importation de modèles personnalisés.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-import-job/*"
                }
            }
        }
    ]
}

Autorisations d'accès aux fichiers de modèles dans Amazon S3

Joignez la politique suivante pour autoriser le rôle à accéder aux fichiers de modèles dans le compartiment Amazon S3. Remplacez les valeurs de la Resource liste par les noms de vos compartiments réels.

Pour les tâches d'importation de modèles personnalisés, il s'agit de votre propre compartiment Amazon S3 contenant les fichiers de modèles open source personnalisés. Pour créer des modèles personnalisés à partir de Amazon Nova modèles SageMaker entraînés par l'IA, il s'agit du compartiment Amazon S3 géré par Amazon dans SageMaker lequel l'IA stocke les artefacts du modèle entraîné. SageMaker L'IA crée ce compartiment lorsque vous exécutez votre premier poste de formation en SageMaker IA.

Pour restreindre l'accès à un dossier spécifique dans un bucket, ajoutez une clé de s3:prefix condition avec le chemin de votre dossier. Vous pouvez suivre l'exemple de politique utilisateur de l'Exemple 2 : Obtenir une liste d'objets dans un bucket avec un préfixe spécifique

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}