기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 모델 사용자 지정을 위한 서비스 역할 생성
Amazon Bedrock에서 자동으로 생성하는 역할 대신 모델 사용자 지정에 사용자 지정 역할을 사용하려면 [AWS서비스에 권한을 위임할 역할 생성의 단계에 따라 IAM 역할을 생성하고 다음 권한을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) 연결합니다.
+ 신뢰 관계
+ S3의 훈련 및 검증 데이터에 액세스하고 S3에 출력 데이터를 쓸 수 있는 권한
+ (선택 사항) KMS 키로 다음 리소스 중 하나를 암호화하는 경우 키를 복호화할 수 있는 권한([사용자 지정 모델 암호화](encryption-custom-job.md) 참조)
+ 모델 사용자 지정 작업 또는 그에 따른 사용자 지정 모델
+ 모델 사용자 지정 작업용 훈련, 검증 또는 출력 데이터
**Topics**
+ [신뢰 관계](#model-customization-iam-role-trust)
+ [S3의 훈련 및 검증 파일에 액세스하고 S3에 출력 파일을 쓸 수 있는 권한](#model-customization-iam-role-s3)
+ [(선택 사항) 교차 리전 추론 프로파일을 사용하여 증류 작업을 생성할 수 있는 권한](#customization-iam-sr-ip)
## 신뢰 관계
다음 정책은 Amazon Bedrock이 이 역할을 맡아 모델 사용자 지정 작업을 수행하도록 허용합니다. 아래에서는 사용 가능한 정책 예제를 보여줍니다.
`Condition` 필드와 함께 하나 이상의 글로벌 조건 컨텍스트 키를 사용하여 [서비스 간 대리자 혼동 방지](cross-service-confused-deputy-prevention.md)를 위해 권한 범위를 선택적으로 제한할 수 있습니다. 자세한 정보는 [AWS 전역 조건 컨텍스트 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)를 참조하세요.
+ `aws:SourceAccount` 값을 계정 ID로 설정합니다.
+ (선택 사항) `ArnEquals` 또는 `ArnLike` 조건을 사용하여 범위를 계정 ID의 특정 모델 사용자 지정 작업으로 제한합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:{{111122223333}}:model-customization-job/*"
}
}
}
]
}
```
------
## S3의 훈련 및 검증 파일에 액세스하고 S3에 출력 파일을 쓸 수 있는 권한
다음 정책을 연결하여 역할이 훈련 및 검증 데이터에 액세스하고 출력 데이터를 쓸 버킷에 액세스할 수 있도록 허용합니다. `Resource` 목록의 값을 실제 버킷 이름으로 바꿉니다.
버킷의 특정 폴더에 대한 액세스를 제한하려면 폴더 경로와 함께 `s3:prefix` 조건 키를 추가합니다. [예제 2: 특정 접두사가 있는 버킷의 객체 목록 가져오기](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2)의 **사용자 정책** 예제를 따르면 됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{training-bucket}}",
"arn:aws:s3:::{{training-bucket/*}}",
"arn:aws:s3:::{{validation-bucket}}",
"arn:aws:s3:::{{validation-bucket/*}}"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{output-bucket}}",
"arn:aws:s3:::{{output-bucket/*}}"
]
}
]
}
```
------
## (선택 사항) 교차 리전 추론 프로파일을 사용하여 증류 작업을 생성할 수 있는 권한
추출 작업에서 교사 모델에 교차 리전 추론 프로파일을 사용하려면 추론 프로파일의 각 리전에 있는 모델 AWS 리전외에도에서 추론 프로파일을 호출할 수 있는 권한이 서비스 역할에 있어야 합니다.
교차 리전(시스템 정의) 추론 프로파일을 사용하여 간접 호출할 수 있는 권한의 경우 다음 정책을 서비스 역할에 연결할 권한 정책의 템플릿으로 사용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:inference-profile/{{${InferenceProfileId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}"
]
}
]
}
```
------