Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Akses dan keamanan kustomisasi model
Halaman ini memberikan informasi keamanan dan izin yang komprehensif untuk semua jenis kustomisasi model Amazon Bedrock termasuk fine-tuning, fine-tuning penguatan, distilasi, dan operasi model. Sebelum Anda mulai menyesuaikan model, pastikan Anda memahami jenis akses yang dibutuhkan Amazon Bedrock dan pertimbangkan beberapa opsi untuk mengamankan pekerjaan dan artefak penyesuaian Anda.
Bagian berikut berisi izin yang diperlukan untuk skenario kustomisasi yang berbeda. Pilih izin yang sesuai berdasarkan kasus penggunaan spesifik Anda:
## Izin kustomisasi model dasar
Semua pekerjaan kustomisasi model memerlukan izin dasar ini. Ini berlaku untuk fine-tuning, distilasi, dan jenis kustomisasi lainnya.
### Buat peran layanan IAM untuk kustomisasi model
Amazon Bedrock memerlukan peran layanan AWS Identity and Access Management (IAM) untuk mengakses bucket S3 tempat Anda ingin menyimpan data pelatihan dan validasi penyesuaian model. Ada beberapa cara untuk melakukan ini:
+ Buat peran layanan secara otomatis dengan menggunakan Konsol Manajemen AWS.
+ Buat peran layanan secara manual dengan izin yang tepat untuk mengakses bucket S3 Anda.
Untuk opsi manual, buat peran IAM dan lampirkan izin berikut dengan mengikuti langkah-langkah di [Membuat peran untuk mendelegasikan izin ke](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) layanan. AWS
+ Hubungan kepercayaan
+ Izin untuk mengakses data pelatihan dan validasi Anda di S3 dan untuk menulis data keluaran Anda ke S3
+ (Opsional) Jika Anda mengenkripsi salah satu sumber daya berikut dengan kunci KMS, izin untuk mendekripsi kunci (lihat) [Enkripsi model khusus](encryption-custom-job.md)
+ Pekerjaan kustomisasi model atau model kustom yang dihasilkan
+ Data pelatihan, validasi, atau output untuk pekerjaan kustomisasi model
### Hubungan kepercayaan
Kebijakan berikut memungkinkan Amazon Bedrock untuk mengambil peran ini dan melaksanakan pekerjaan penyesuaian model. Berikut ini menunjukkan contoh kebijakan yang dapat Anda gunakan.
Anda dapat secara opsional membatasi ruang lingkup izin untuk [pencegahan wakil kebingungan lintas layanan](cross-service-confused-deputy-prevention.md) dengan menggunakan satu atau lebih kunci konteks kondisi global dengan bidang tersebut. `Condition` Untuk informasi selengkapnya, lihat [kunci konteks kondisi AWS global.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ Tetapkan `aws:SourceAccount` nilainya ke ID akun Anda.
+ (Opsional) Gunakan `ArnLike` kondisi `ArnEquals` atau untuk membatasi ruang lingkup pada pekerjaan penyesuaian model tertentu di ID akun Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-customization-job/*"
}
}
}
]
}
```
------
### Izin untuk mengakses file pelatihan dan validasi dan untuk menulis file output di S3
Lampirkan kebijakan berikut untuk memungkinkan peran mengakses data pelatihan dan validasi Anda serta bucket untuk menulis data keluaran Anda. Ganti nilai dalam `Resource` daftar dengan nama bucket Anda yang sebenarnya.
Untuk membatasi akses ke folder tertentu dalam bucket, tambahkan kunci `s3:prefix` kondisi dengan jalur folder Anda. Anda dapat mengikuti contoh **Kebijakan pengguna** di [Contoh 2: Mendapatkan daftar objek dalam bucket dengan awalan tertentu](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::training-bucket",
"arn:aws:s3:::training-bucket/*",
"arn:aws:s3:::validation-bucket",
"arn:aws:s3:::validation-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::output-bucket",
"arn:aws:s3:::output-bucket/*"
]
}
]
}
```
------
## Izin penyalinan model
Untuk menyalin model ke Wilayah lain, Anda memerlukan izin khusus tergantung pada izin peran Anda saat ini dan konfigurasi model.
1. Jika peran Anda tidak memiliki [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)kebijakan yang dilampirkan, lampirkan kebijakan berbasis identitas berikut ke peran untuk mengizinkan izin minimal menyalin model dan melacak pekerjaan penyalinan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CopyModels",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCopyJob",
"bedrock:GetModelCopyJob",
"bedrock:ListModelCopyJobs"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/model-id"
],
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"us-east-1"
]
}
}
}
]
}
```
------
1. (Opsional) Jika model yang akan disalin dienkripsi dengan kunci KMS, lampirkan [kebijakan kunci ke kunci KMS yang mengenkripsi model untuk memungkinkan peran mendekripsi itu](encryption-custom-job.md#encryption-key-policy-decrypt).
1. (Opsional) Jika Anda berencana untuk mengenkripsi salinan model dengan kunci KMS, lampirkan [kebijakan kunci ke kunci KMS yang akan digunakan untuk mengenkripsi model](encryption-custom-job.md#encryption-key-policy-encrypt) untuk memungkinkan peran mengenkripsi model dengan kunci.
## Izin profil inferensi lintas wilayah
Untuk menggunakan profil inferensi lintas wilayah untuk model guru dalam pekerjaan distilasi, peran layanan harus memiliki izin untuk memanggil profil inferensi di Wilayah AWS, selain model di setiap Wilayah dalam profil inferensi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
]
}
]
}
```
------
## (Opsional) Izin untuk membuat pekerjaan Distilasi dengan profil inferensi lintas wilayah
Untuk menggunakan profil inferensi lintas wilayah untuk model guru dalam pekerjaan distilasi, peran layanan harus memiliki izin untuk memanggil profil inferensi di Wilayah AWS, selain model di setiap Wilayah dalam profil inferensi.
Agar izin dipanggil dengan profil inferensi lintas wilayah (ditentukan sistem), gunakan kebijakan berikut sebagai templat untuk kebijakan izin yang akan dilampirkan ke peran layanan Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
]
}
]
}
```
------
## (Opsional) Enkripsi pekerjaan kustomisasi model dan artefak
Enkripsi data input dan output, pekerjaan kustomisasi, atau permintaan inferensi yang dibuat untuk model kustom. Untuk informasi selengkapnya, lihat [Enkripsi model khusus](encryption-custom-job.md).
## (Opsional) Lindungi pekerjaan penyesuaian model Anda menggunakan VPC
Saat Anda menjalankan tugas penyesuaian model, pekerjaan tersebut akan mengakses bucket Amazon S3 Anda untuk mengunduh data input dan mengunggah metrik pekerjaan. Untuk mengontrol akses ke data Anda, kami sarankan Anda menggunakan virtual private cloud (VPC) dengan Amazon [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html). Anda dapat lebih melindungi data Anda dengan mengonfigurasi VPC Anda sehingga data Anda tidak tersedia melalui internet dan sebagai gantinya membuat titik akhir [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)antarmuka VPC untuk membuat koneksi pribadi ke data Anda. Untuk informasi selengkapnya tentang cara Amazon VPC dan AWS PrivateLink berintegrasi dengan Amazon Bedrock, lihat. [Lindungi data Anda menggunakan Amazon VPC dan AWS PrivateLink](usingVPC.md)
Lakukan langkah-langkah berikut untuk mengonfigurasi dan menggunakan VPC untuk pelatihan, validasi, dan data keluaran untuk pekerjaan penyesuaian model Anda.
**Topics**
+ [
### Siapkan VPC untuk melindungi data Anda selama penyesuaian model
](#vpc-cm-setup)
+ [
### Lampirkan izin VPC ke peran penyesuaian model
](#vpc-data-access-role)
+ [
### Tambahkan konfigurasi VPC saat mengirimkan pekerjaan penyesuaian model
](#vpc-config)
### Siapkan VPC untuk melindungi data Anda selama penyesuaian model
Untuk menyiapkan VPC, ikuti langkah-langkah di. [Menyiapkan VPC](usingVPC.md#create-vpc) Anda dapat lebih mengamankan VPC Anda dengan menyiapkan titik akhir VPC S3 dan menggunakan kebijakan IAM berbasis sumber daya untuk membatasi akses ke bucket S3 yang berisi data penyesuaian model Anda dengan mengikuti langkah-langkah di. [(Contoh) Batasi akses data ke data Amazon S3 Anda menggunakan VPC](vpc-s3.md)
### Lampirkan izin VPC ke peran penyesuaian model
Setelah Anda selesai menyiapkan VPC Anda, lampirkan izin berikut ke [peran layanan penyesuaian model](model-customization-iam-role.md) Anda untuk memungkinkannya mengakses VPC. Ubah kebijakan ini untuk mengizinkan akses hanya ke sumber daya VPC yang dibutuhkan pekerjaan Anda. Ganti *\$1\$1\$1subnet-ids\$1\$1* dan *security-group-id* dengan nilai dari VPC Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/BedrockManaged": [
"true"
]
},
"ArnEquals": {
"aws:RequestTag/BedrockModelCustomizationJobArn": [
"arn:aws:bedrock:us-east-1:123456789012:model-customization-job/*"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id",
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2",
"arn:aws:ec2:us-east-1:123456789012:security-group/security-group-id"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id",
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2"
],
"ec2:ResourceTag/BedrockModelCustomizationJobArn": [
"arn:aws:bedrock:us-east-1:123456789012:model-customization-job/*"
]
},
"StringEquals": {
"ec2:ResourceTag/BedrockManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"CreateNetworkInterface"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"BedrockManaged",
"BedrockModelCustomizationJobArn"
]
}
}
}
]
}
```
------
### Tambahkan konfigurasi VPC saat mengirimkan pekerjaan penyesuaian model
Setelah Anda mengonfigurasi VPC dan peran serta izin yang diperlukan seperti yang dijelaskan di bagian sebelumnya, Anda dapat membuat pekerjaan penyesuaian model yang menggunakan VPC ini.
Saat Anda menentukan subnet VPC dan grup keamanan untuk suatu pekerjaan, Amazon Bedrock membuat *antarmuka jaringan elastis* (ENIs) yang terkait dengan grup keamanan Anda di salah satu subnet. ENIs izinkan pekerjaan Amazon Bedrock terhubung ke sumber daya di VPC Anda. Untuk selengkapnya ENIs, lihat [Antarmuka Jaringan Elastis](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) di Panduan *Pengguna Amazon VPC*. Amazon Bedrock tag ENIs yang dibuat dengan `BedrockManaged` dan `BedrockModelCustomizationJobArn` tag.
Kami menyarankan Anda menyediakan setidaknya satu subnet di setiap Availability Zone.
Anda dapat menggunakan grup keamanan untuk menetapkan aturan untuk mengontrol akses Amazon Bedrock ke sumber daya VPC Anda.
Anda dapat mengonfigurasi VPC untuk digunakan di konsol atau melalui API. Pilih tab untuk metode pilihan Anda, lalu ikuti langkah-langkahnya:
------
#### [ Console ]
Untuk konsol Amazon Bedrock, Anda menentukan subnet VPC dan grup keamanan di bagian pengaturan **VPC** opsional saat Anda membuat pekerjaan penyesuaian model. Untuk informasi selengkapnya tentang mengonfigurasi pekerjaan, lihat[Kirim pekerjaan kustomisasi model untuk fine-tuning](model-customization-submit.md).
**catatan**
Untuk pekerjaan yang menyertakan konfigurasi VPC, konsol tidak dapat secara otomatis membuat peran layanan untuk Anda. Ikuti panduan di [Buat peran layanan untuk kustomisasi model](model-customization-iam-role.md) untuk membuat peran khusus.
------
#### [ API ]
Ketika Anda mengirimkan [CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)permintaan, Anda dapat menyertakan `VpcConfig` sebagai parameter permintaan untuk menentukan subnet VPC dan grup keamanan yang akan digunakan, seperti pada contoh berikut.
```
"vpcConfig": {
"securityGroupIds": [
"${{sg-0123456789abcdef0}}"
],
"subnets": [
"${{subnet-0123456789abcdef0}}",
"${{subnet-0123456789abcdef1}}",
"${{subnet-0123456789abcdef2}}"
]
}
```
------