翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 事前トレーニングしたモデルをインポートするサービスロールを作成する
<a name="model-import-iam-role"></a>

モデルインポートにカスタムロールを使用するには、IAM サービスロールを作成し、以下のアクセス許可をアタッチします。IAM でサービスロールを作成する方法については、「 [AWSサービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。

これらのアクセス許可は、以下の Amazon Bedrock にモデルをインポートする 2 つの方法に適用されます。
+ **カスタムモデルのインポートジョブ** — カスタマイズされたオープンソースの基盤モデル (Mistral AI モデルや Llama モデルなど) をインポートする場合。詳細については、「[カスタムモデルのインポートを使用して、カスタマイズされたオープンソースモデルを Amazon Bedrock にインポートする](model-customization-import-model.md)」を参照してください。
+ **カスタムモデルの作成** — SageMaker AI でファインチューニングした Amazon Nova モデルをインポートする場合。詳細については、「[SageMaker AI でトレーニングされた Amazon Nova モデルをインポートする](import-with-create-custom-model.md)」を参照してください。

**Topics**
+ [

## 信頼関係
](#model-import-iam-role-trust)
+ [

## Amazon S3 のモデルファイルにアクセスするためのアクセス許可
](#model-import-iam-role-s3)

## 信頼関係
<a name="model-import-iam-role-trust"></a>

以下のポリシーにより、Amazon Bedrock がこのロールを引き受け、モデルのインポートオペレーションを実行できるようになります。使用するポリシーの例を下記に示します。

`Condition` フィールドで 1 つ以上のグローバル条件コンテキストキーを使用することで、必要に応じて、[サービス間の混乱した使節を回避する](cross-service-confused-deputy-prevention.md)ためのアクセス許可の範囲を制限できます。詳細については、「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
+ `aws:SourceAccount` の値をアカウント ID に設定します。
+ (オプション) `ArnEquals` 条件または `ArnLike` 条件を使用すると、アカウント内の特定のオペレーションの範囲を制限できます。次の例では、カスタムモデルのインポートジョブへのアクセスを制限しています。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-import-job/*"
                }
            }
        }
    ]
}
```

------

## Amazon S3 のモデルファイルにアクセスするためのアクセス許可
<a name="model-import-iam-role-s3"></a>

次のポリシーをアタッチして、Amazon S3 バケット内のモデルファイルへのアクセスをロールに許可します。`Resource` リスト内の値を実際のバケット名に置き換えます。

カスタムモデルのインポートジョブの場合、これはカスタマイズされたオープンソースのモデルファイルを含む独自の Amazon S3 バケットです。SageMaker AI でトレーニングされた Amazon Nova モデルからカスタムモデルを作成する場合、これは SageMaker AI がトレーニング済みモデルアーティファクトを保存する Amazon マネージド Amazon S3 バケットです。このバケットは、最初の SageMaker AI トレーニングジョブを実行するときに SageMaker AI によって作成されます。

バケット内の特定のフォルダへのアクセスを制限するには、フォルダパスに `s3:prefix` 条件キーを追加します。「[例 2：特定のプレフィックス付きバケットのオブジェクトリストを取得する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2)」の**ユーザーポリシー**例に従います。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}
```

------