Izin dan kebijakan utama untuk model Amazon Nova kustom Siapkan izin kunci untuk mengenkripsi dan menjalankan model kustom

Enkripsi pekerjaan dan artefak kustomisasi model Amazon Nova

Untuk informasi mengenai enkripsi pekerjaan dan artefak penyesuaian model Anda di Amazon Bedrock, lihat Enkripsi pekerjaan dan artefak penyesuaian model.

Topik

Izin dan kebijakan utama untuk model Amazon Nova kustom
Siapkan izin kunci untuk mengenkripsi dan menjalankan model kustom

Izin dan kebijakan utama untuk model Amazon Nova kustom

Pernyataan berikut diperlukan untuk menetapkan izin untuk kunci KMS Anda.

PermissionsModelCustomization pernyataan

Di Principal bidang, tambahkan akun yang ingin Anda izinkanDecrypt,, GenerateDataKeyDescribeKey, dan CreateGrant operasi ke daftar yang dipetakan AWS subbidang. Jika Anda menggunakan tombol kms:ViaService kondisi, Anda dapat menambahkan baris untuk setiap wilayah, atau menggunakannya * sebagai pengganti ${region} untuk mengizinkan semua wilayah yang mendukung Amazon Bedrock.


{
    "Sid": "PermissionsModelCustomization",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::${account-id}:role/${customization-role}"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:DescribeKey",
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "bedrock.${region}.amazonaws.com"
            ] 
        }
    }
}

PermissionsModelInvocation pernyataan

Di Principal bidang, tambahkan akun yang ingin Anda izinkan Decrypt dan GenerateDataKey operasinya ke daftar yang dipetakan AWS subbidang. Jika Anda menggunakan tombol kms:ViaService kondisi, Anda dapat menambahkan baris untuk setiap wilayah, atau menggunakannya * sebagai pengganti ${region} untuk mengizinkan semua wilayah yang mendukung Amazon Bedrock.


{
    "Sid": "PermissionsModelInvocation",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::${account-id}:user/${invocation-role}"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "bedrock.${region}.amazonaws.com"
            ] 
        }
    }
}

PermissionsNovaProvisionedThroughput pernyataan

Saat Anda membuat throughput yang disediakan untuk model Amazon Nova kustom Anda, Amazon Bedrock melakukan pengoptimalan inferensi dan penerapan pada model. Dalam proses ini, Amazon Bedrock menggunakan kunci KMS yang sama yang digunakan untuk membuat model kustom untuk mempertahankan tingkat keamanan tertinggi seperti model kustom itu sendiri.


{
    "Sid": "PermissionsNovaProvisionedThroughput",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "bedrock.amazonaws.com",
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "kms:EncryptionContextKeys": "aws:bedrock:custom-model"
        }
    }
 }

Siapkan izin kunci untuk mengenkripsi dan menjalankan model kustom

Jika Anda berencana untuk mengenkripsi model yang Anda sesuaikan dengan kunci KMS, kebijakan kunci untuk kunci tersebut akan bergantung pada kasus penggunaan Anda. Perluas bagian yang sesuai dengan kasus penggunaan Anda:

Jika peran yang akan memanggil model kustom sama dengan peran yang akan menyesuaikan model, Anda hanya perlu PermissionsNovaProvisionedThroughput pernyataan PermissionsModelCustomization dan dari pernyataan izin.

Di Principal bidang, tambahkan akun yang ingin Anda izinkan untuk menyesuaikan dan memanggil model kustom ke daftar yang dipetakan AWS subbidang dalam pernyataan. PermissionsModelCustomization
PermissionsNovaProvisionedThroughputPernyataan harus ditambahkan secara default ke kebijakan kunci dengan bedrock.amazonaws.com sebagai prinsipal layanan yang diizinkan dengan kondisi yang kms:EncryptionContextKeys digunakan.

Jika peran yang akan memanggil model kustom berbeda dari peran yang akan menyesuaikan model, Anda memerlukan ketiga pernyataan izin. Ubah pernyataan dalam templat kebijakan berikut sebagai berikut:

Di Principal bidang, tambahkan akun yang ingin Anda izinkan untuk hanya menyesuaikan model kustom ke daftar yang dipetakan AWS subbidang dalam PermissionsModelCustomization pernyataan.
Di Principal bidang, tambahkan akun yang ingin Anda izinkan untuk hanya memanggil model kustom ke daftar yang dipetakan AWS subbidang dalam pernyataan. PermissionsModelInvocation
PermissionsNovaProvisionedThroughputPernyataan harus ditambahkan secara default ke kebijakan kunci dengan bedrock.amazonaws.com sebagai prinsipal layanan yang diizinkan dengan kondisi yang kms:EncryptionContextKeys digunakan.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Id": "PermissionsCustomModelKey",
    "Statement": [
        {
            "Sid": "PermissionsModelCustomization",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/customization-role"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "PermissionsModelInvocation",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/invocation-role"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "PermissionsNovaPermissionedThroughput",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "bedrock.amazonaws.com"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": "aws:bedrock:custom-model"
                }
            }
        }
    ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menyetel model Amazon Nova yang disempurnakan

Mempersiapkan data untuk fine-tuning Memahami model