Creazione di un ruolo di servizio per la personalizzazione del modello - Amazon Bedrock
Relazione di attendibilitàAutorizzazioni per accedere ai file di addestramento e convalida e scrivere i file di output in S3(Facoltativo) Autorizzazioni per creare un processo di distillazione con profili di inferenza interregionale

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un ruolo di servizio per la personalizzazione del modello

Per utilizzare un ruolo personalizzato per la personalizzazione del modello anziché quello creato automaticamente da Amazon Bedrock, crea un ruolo IAM e assegna le seguenti autorizzazioni seguendo la procedura descritta in Creazione di un ruolo per delegare le autorizzazioni a un servizio. AWS

  • Relazione di attendibilità

  • Autorizzazioni per accedere ai dati di addestramento e convalida in S3 e per scrivere i dati di output in S3

  • (Facoltativo) Se una delle seguenti risorse è crittografata con una chiave KMS, le autorizzazioni per decrittare la chiave (consultare Crittografia di modelli personalizzati)

    • Un processo di personalizzazione del modello o il modello personalizzato risultante

    • Dati di addestramento, convalida o output per il processo di personalizzazione del modello

Relazione di attendibilità

La seguente policy consente ad Amazon Bedrock di assumere questo ruolo ed eseguire il processo di personalizzazione del modello. Di seguito viene riportato un esempio di policy utilizzabile.

Facoltativamente, è possibile limitare l’ambito dell’autorizzazione per la prevenzione del “confused deputy” multi-servizio utilizzando una o più chiavi di contesto delle condizioni globali con il campo Condition. Per ulteriori informazioni, consulta Chiavi di contesto delle condizioni globali di AWS.

  • Impostare il valore aws:SourceAccount sull’ID dell’account.

  • (Facoltativo) Utilizza la condizione ArnEquals o ArnLike per limitare l’ambito a specifici processi di personalizzazione del modello nell’ID account.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-customization-job/*"
                }
            }
        }
    ]
}

Autorizzazioni per accedere ai file di addestramento e convalida e scrivere i file di output in S3

Collegare la seguente policy per consentire al ruolo di accedere ai dati di addestramento e convalida e al bucket in cui scrivere i dati di output. Sostituire i valori nell’elenco Resource con i nomi effettivi dei bucket.

Per limitare l’accesso a una cartella specifica in un bucket, aggiungere una chiave di condizione s3:prefix con il percorso della cartella. Puoi seguire l’esempio di Policy utente in Esempio 2: recupero di un elenco di oggetti in un bucket con un prefisso specifico.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::training-bucket",
                "arn:aws:s3:::training-bucket/*",
                "arn:aws:s3:::validation-bucket",
                "arn:aws:s3:::validation-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::output-bucket",
                "arn:aws:s3:::output-bucket/*"
            ]
        }
    ]
}

(Facoltativo) Autorizzazioni per creare un processo di distillazione con profili di inferenza interregionale

Per utilizzare un profilo di inferenza interregionale per un modello di insegnante in un lavoro di distillazione, il ruolo di servizio deve disporre delle autorizzazioni per richiamare il profilo di inferenza in unRegione AWS, oltre al modello di ciascuna regione nel profilo di inferenza.

Per le autorizzazioni da invocare con un profilo di inferenza interregionale (definito dal sistema), utilizzare la seguente policy come modello per la policy di autorizzazioni da allegare al ruolo di servizio:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
            ]
        }
    ]
}