建立模型自訂的服務角色 - Amazon Bedrock
信任關係存取 S3 中訓練和驗證檔案以及寫入輸出檔案的許可(選用) 使用跨區域推論設定檔建立蒸餾任務的許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立模型自訂的服務角色

若要使用自訂角色進行模型自訂,而非 Amazon Bedrock 自動建立的角色,請建立 IAM 角色,並依照建立角色以將許可委派給 AWS服務中的步驟連接下列許可

  • 信任關係

  • 在 S3 中存取訓練和驗證資料以及將輸出資料寫入 S3 的許可

  • (選用) 如果您使用 KMS 金鑰加密下列任何資源,則需要解密金鑰的權限 (請參閱 自訂模型的加密)

    • 模型自訂任務或產生的自訂模型

    • 模型自訂任務的訓練、驗證或輸出資料

信任關係

下列政策允許 Amazon Bedrock 擔任此角色,並執行模型自訂任務。以下顯示您可使用的範例政策。

您可以選擇性地限制跨服務混淆代理人預防的許可範圍,方法是使用一或多個全域條件內容索引鍵搭配 Condition 欄位。如需詳細資訊,請參閱 AWS 全域條件內容索引鍵

  • aws:SourceAccount 值設定為您的帳戶 ID。

  • (選用) 使用 ArnEqualsArnLike 條件將範圍限制為帳戶 ID 中特定的模型自訂任務。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-customization-job/*"
                }
            }
        }
    ]
}

存取 S3 中訓練和驗證檔案以及寫入輸出檔案的許可

連接下列政策,以允許角色存取訓練和驗證資料,以及寫入輸出資料的儲存貯體。將 Resource 清單中的值取代為您實際的儲存貯體名稱。

若要限制對儲存貯體中特定資料夾的存取,請使用資料夾路徑新增 s3:prefix 條件索引鍵。您可以遵循範例 2:取得具有特定字首之儲存貯體中的物件清單中的使用者政策範例

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::training-bucket",
                "arn:aws:s3:::training-bucket/*",
                "arn:aws:s3:::validation-bucket",
                "arn:aws:s3:::validation-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::output-bucket",
                "arn:aws:s3:::output-bucket/*"
            ]
        }
    ]
}

(選用) 使用跨區域推論設定檔建立蒸餾任務的許可

若要在分割任務中使用教師模型的跨區域推論描述檔,服務角色除了在推論描述檔中每個區域中的模型之外AWS 區域,還必須具有在 中調用推論描述檔的許可。

如需使用跨區域 (系統定義) 推論設定檔調用的許可,請使用下列政策作為許可政策的範本,以連接至服務角色:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
            ]
        }
    ]
}