Criar um perfil de serviço para a importação de modelos pré-treinados - Amazon Bedrock
Relação de confiançaPermissões para acessar arquivos de modelos no Amazon S3

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar um perfil de serviço para a importação de modelos pré-treinados

Para usar um perfil personalizado para importação de modelo, crie um perfil de serviço do IAM e anexe as permissões a seguir. Para obter informações sobre como criar uma função de serviço no IAM, consulte Criação de uma função para delegar permissões a um AWS serviço.

Essas permissões se aplicam aos dois métodos de importação de modelos para o Amazon Bedrock:

Relação de confiança

A política a seguir permite que o Amazon Bedrock assuma esse perfil e execute operações de importação de modelo. Veja um exemplo de política que é possível usar.

Opcionalmente, é possível restringir o escopo da permissão da prevenção do problema “representante confuso” entre serviços usando uma ou mais chaves de contexto de condição global com o campo Condition. Para obter mais informações, consulte Chaves de contexto de condição global da AWS.

  • Defina o valor aws:SourceAccount para o ID da conta.

  • (Opcional) Use a condição ArnEquals ou ArnLike para restringir o escopo a operações específicas em sua conta. O exemplo a seguir restringe o acesso a trabalhos de importação de modelos personalizados.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-import-job/*"
                }
            }
        }
    ]
}

Permissões para acessar arquivos de modelos no Amazon S3

Anexe a política a seguir para permitir que o perfil acesse arquivos de modelo no bucket do Amazon S3. Substitua os valores na lista Resource pelos nomes reais dos buckets.

Para trabalhos de importação de modelos personalizados, esse é o bucket do Amazon S3 que contém os arquivos do modelo de código aberto personalizado. Para criar modelos personalizados a partir de Amazon Nova modelos SageMaker treinados por IA, esse é o bucket Amazon S3 gerenciado pela Amazon, SageMaker onde a IA armazena os artefatos do modelo treinado. SageMaker A IA cria esse bucket quando você executa seu primeiro trabalho de treinamento de SageMaker IA.

Para restringir o acesso a uma pasta específica em um bucket, adicione uma chave de condição s3:prefix ao caminho da pasta. É possível seguir o exemplo de Política de usuário no Exemplo 2: obter uma lista de objetos em um bucket com um prefixo específico

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}