建立用於匯入預先訓練模型的服務角色 - Amazon Bedrock
信任關係在 Amazon S3 中存取模型檔案的許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立用於匯入預先訓練模型的服務角色

若要使用自訂角色進行模型匯入,請建立 IAM 服務角色並連接下列許可。如需如何在 IAM 中建立服務角色的資訊,請參閱建立角色以將許可委派給 AWS服務

這些許可適用於將模型匯入 Amazon Bedrock 的兩種方法:

信任關係

下列政策允許 Amazon Bedrock 擔任此角色,並執行模型匯入操作。以下顯示您可使用的範例政策。

您可以選擇性地限制跨服務混淆代理人預防的許可範圍,方法是使用一或多個全域條件內容索引鍵搭配 Condition 欄位。如需詳細資訊,請參閱 AWS 全域條件內容索引鍵

  • aws:SourceAccount 值設定為您的帳戶 ID。

  • (選用) 使用 ArnEqualsArnLike 條件,將範圍限制為帳戶中的特定操作。下列範例會限制自訂模型匯入任務的存取權。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-import-job/*"
                }
            }
        }
    ]
}

在 Amazon S3 中存取模型檔案的許可

連接下列政策以允許角色存取 S3 儲存貯體中的模型檔案:將 Resource 清單中的值取代為您實際的儲存貯體名稱。

對於自訂模型匯入任務,這是您自己的 Amazon S3 儲存貯體,其中包含自訂的開放原始碼模型檔案。若要從 SageMaker AI 訓練 Amazon Nova 模型建立自訂模型,這是 SageMaker AI 存放訓練模型成品的 Amazon 受管 Amazon S3 儲存貯體。當您執行第一個 SageMaker AI 訓練任務時 SageMaker AI 會建立此儲存貯體。

若要限制對儲存貯體中特定資料夾的存取,請使用資料夾路徑新增 s3:prefix 條件索引鍵。您可以遵循範例 2:取得具有特定字首之儲存貯體中的物件清單中的使用者政策範例

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}