Creazione di un ruolo di servizio per l’importazione di modelli pre-addestrati - Amazon Bedrock
Relazione di attendibilitàAutorizzazioni per accedere a file modello in Amazon S3

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un ruolo di servizio per l’importazione di modelli pre-addestrati

Per utilizzare un ruolo personalizzato per l’importazione del modello, crea un ruolo di servizio IAM e collega le seguenti autorizzazioni. Per informazioni su come creare un ruolo di servizio in IAM, consulta Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio.

Queste autorizzazioni si applicano a entrambi i metodi di importazione dei modelli in Amazon Bedrock:

Relazione di attendibilità

La seguente policy consente ad Amazon Bedrock di assumere questo ruolo ed eseguire le operazioni di personalizzazione del modello. Di seguito viene riportato un esempio di policy utilizzabile.

Facoltativamente, è possibile limitare l’ambito dell’autorizzazione per la prevenzione del “confused deputy” multi-servizio utilizzando una o più chiavi di contesto delle condizioni globali con il campo Condition. Per ulteriori informazioni, consulta Chiavi di contesto delle condizioni globali di AWS.

  • Impostare il valore aws:SourceAccount sull’ID dell’account.

  • (Facoltativo) Utilizza la condizione ArnEquals o ArnLike per limitare l’ambito a operazioni specifiche nell’account. L’esempio seguente limita l’accesso ai processi di importazione di modelli personalizzati.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-import-job/*"
                }
            }
        }
    ]
}

Autorizzazioni per accedere a file modello in Amazon S3

Collegare la seguente policy per consentire al ruolo di accedere ai file modello nel bucket Amazon S3. Sostituire i valori nell’elenco Resource con i nomi effettivi dei bucket.

Per i lavori di importazione di modelli personalizzati, questo è il bucket Amazon S3 contenente i file modello open-source personalizzati. Per creare modelli personalizzati da Amazon Nova modelli SageMaker addestrati all'intelligenza artificiale, questo è il bucket Amazon S3 gestito da Amazon in SageMaker cui l'intelligenza artificiale archivia gli artefatti del modello addestrato. SageMaker L'intelligenza artificiale crea questo bucket quando esegui il tuo primo lavoro di formazione sull'intelligenza artificiale. SageMaker

Per limitare l’accesso a una cartella specifica in un bucket, aggiungere una chiave di condizione s3:prefix con il percorso della cartella. Puoi seguire l’esempio di Policy utente in Esempio 2: recupero di un elenco di oggetti in un bucket con un prefisso specifico.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}