Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Buat peran layanan untuk kustomisasi model
<a name="model-customization-iam-role"></a>

Untuk menggunakan peran kustom untuk penyesuaian model alih-alih yang dibuat Amazon Bedrock secara otomatis, buat peran IAM dan lampirkan izin berikut dengan mengikuti langkah-langkah di [Membuat peran untuk mendelegasikan izin ke](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) layanan. AWS
+ Hubungan kepercayaan
+ Izin untuk mengakses data pelatihan dan validasi Anda di S3 dan untuk menulis data keluaran Anda ke S3
+ (Opsional) Jika Anda mengenkripsi salah satu sumber daya berikut dengan kunci KMS, izin untuk mendekripsi kunci (lihat) [Enkripsi model khusus](encryption-custom-job.md)
  + Pekerjaan kustomisasi model atau model kustom yang dihasilkan
  + Data pelatihan, validasi, atau output untuk pekerjaan kustomisasi model

**Topics**
+ [Hubungan kepercayaan](#model-customization-iam-role-trust)
+ [Izin untuk mengakses file pelatihan dan validasi dan untuk menulis file output di S3](#model-customization-iam-role-s3)
+ [(Opsional) Izin untuk membuat pekerjaan Distilasi dengan profil inferensi lintas wilayah](#customization-iam-sr-ip)

## Hubungan kepercayaan
<a name="model-customization-iam-role-trust"></a>

Kebijakan berikut memungkinkan Amazon Bedrock untuk mengambil peran ini dan melaksanakan pekerjaan penyesuaian model. Berikut ini menunjukkan contoh kebijakan yang dapat Anda gunakan.

Anda dapat secara opsional membatasi ruang lingkup izin untuk [pencegahan wakil kebingungan lintas layanan](cross-service-confused-deputy-prevention.md) dengan menggunakan satu atau lebih kunci konteks kondisi global dengan bidang tersebut. `Condition` Untuk informasi selengkapnya, lihat [kunci konteks kondisi AWS global.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ Tetapkan `aws:SourceAccount` nilainya ke ID akun Anda.
+ (Opsional) Gunakan `ArnLike` kondisi `ArnEquals` atau untuk membatasi ruang lingkup pada pekerjaan penyesuaian model tertentu di ID akun Anda.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-customization-job/*"
                }
            }
        }
    ]
}
```

------

## Izin untuk mengakses file pelatihan dan validasi dan untuk menulis file output di S3
<a name="model-customization-iam-role-s3"></a>

Lampirkan kebijakan berikut untuk memungkinkan peran mengakses data pelatihan dan validasi Anda serta bucket untuk menulis data keluaran Anda. Ganti nilai dalam `Resource` daftar dengan nama bucket Anda yang sebenarnya.

Untuk membatasi akses ke folder tertentu dalam bucket, tambahkan kunci `s3:prefix` kondisi dengan jalur folder Anda. Anda dapat mengikuti contoh **Kebijakan pengguna** di [Contoh 2: Mendapatkan daftar objek dalam bucket dengan awalan tertentu](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2) 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::training-bucket",
                "arn:aws:s3:::training-bucket/*",
                "arn:aws:s3:::validation-bucket",
                "arn:aws:s3:::validation-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::output-bucket",
                "arn:aws:s3:::output-bucket/*"
            ]
        }
    ]
}
```

------

## (Opsional) Izin untuk membuat pekerjaan Distilasi dengan profil inferensi lintas wilayah
<a name="customization-iam-sr-ip"></a>

Untuk menggunakan profil inferensi lintas wilayah untuk model guru dalam pekerjaan distilasi, peran layanan harus memiliki izin untuk memanggil profil inferensi diWilayah AWS, selain model di setiap Wilayah dalam profil inferensi.

Agar izin dipanggil dengan profil inferensi lintas wilayah (ditentukan sistem), gunakan kebijakan berikut sebagai templat untuk kebijakan izin yang akan dilampirkan ke peran layanan Anda:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
            ]
        }
    ]
}
```

------