Buat peran layanan untuk mengimpor model pra-terlatih - Amazon Bedrock
Hubungan kepercayaanIzin untuk mengakses file model di Amazon S3

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat peran layanan untuk mengimpor model pra-terlatih

Untuk menggunakan peran kustom untuk impor model, buat peran layanan IAM dan lampirkan izin berikut. Untuk informasi tentang cara membuat peran layanan di IAM, lihat Membuat peran untuk mendelegasikan izin ke layanan. AWS

Izin ini berlaku untuk kedua metode mengimpor model ke Amazon Bedrock:

Hubungan kepercayaan

Kebijakan berikut memungkinkan Amazon Bedrock untuk mengambil peran ini dan melakukan operasi impor model. Berikut ini menunjukkan contoh kebijakan yang dapat Anda gunakan.

Anda dapat secara opsional membatasi ruang lingkup izin untuk pencegahan wakil kebingungan lintas layanan dengan menggunakan satu atau lebih kunci konteks kondisi global dengan bidang tersebut. Condition Untuk informasi selengkapnya, lihat kunci konteks kondisi AWS global.

  • Tetapkan aws:SourceAccount nilainya ke ID akun Anda.

  • (Opsional) Gunakan ArnEquals atau ArnLike kondisi untuk membatasi ruang lingkup untuk operasi tertentu di akun Anda. Contoh berikut membatasi akses ke pekerjaan impor model kustom.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-import-job/*"
                }
            }
        }
    ]
}

Izin untuk mengakses file model di Amazon S3

Lampirkan kebijakan berikut untuk mengizinkan peran mengakses file model di bucket Amazon S3. Ganti nilai dalam Resource daftar dengan nama bucket Anda yang sebenarnya.

Untuk pekerjaan impor model khusus, ini adalah bucket Amazon S3 Anda sendiri yang berisi file model sumber terbuka yang disesuaikan. Untuk membuat model khusus dari model yang SageMaker dilatih AI, ini adalah bucket Amazon S3 yang dikelola Amazon tempat SageMaker AI menyimpan artefak Amazon Nova model terlatih. SageMaker AI menciptakan ember ini saat Anda menjalankan pekerjaan pelatihan SageMaker AI pertama Anda.

Untuk membatasi akses ke folder tertentu dalam bucket, tambahkan kunci s3:prefix kondisi dengan jalur folder Anda. Anda dapat mengikuti contoh Kebijakan pengguna di Contoh 2: Mendapatkan daftar objek dalam bucket dengan awalan tertentu

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}