创建用于导入预训练模型的服务角色 - Amazon Bedrock
信任关系访问 Amazon S3 中模型文件的权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建用于导入预训练模型的服务角色

要使用自定义角色导入模型,请创建一个 IAM 服务角色并附加以下权限。有关如何在 IAM 中创建服务角色的信息,请参阅创建向 AWS 服务委派权限的角色

这些权限适用于将模型导入 Amazon Bedrock 的两种方法:

信任关系

以下策略允许 Amazon Bedrock 担任此角色并执行模型导入操作。下面所示为您可以使用的示例策略。

您可以选择使用带有 Condition 字段的一个或多个全局条件上下文键来限制权限范围,以防止跨服务混淆代理。有关更多信息,请参阅 AWS 全局条件上下文键

  • aws:SourceAccount 值设置为您的账户 ID。

  • (可选)使用ArnEqualsArnLike条件将范围限制为账户中的特定操作。以下示例限制了对自定义模型导入任务的访问。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-import-job/*"
                }
            }
        }
    ]
}

访问 Amazon S3 中模型文件的权限

附上以下策略以允许该角色访问 Amazon S3 存储桶中的模型文件。将 Resource 列表中的值替换为您实际的存储桶名称。

对于自定义模型导入任务,这是您自己的 Amazon S3 存储桶,其中包含自定义的开源模型文件。为了根据 SageMaker 经过人工智能训练的模型创建自定义Amazon Nova模型,这是亚马逊管理的 Amazon S3 存储桶,A SageMaker I 存储在其中存储经过训练的模型工件。 SageMaker 当你运行第一个 AI 训练作业时, SageMaker AI 会创建这个存储桶。

要限制对存储桶中特定文件夹的访问,请在您的文件夹路径中添加 s3:prefix 条件键。您可以按照示例 2:获取存储桶中具有特定前缀的对象列表中的用户策略示例操作

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}