Crear un rol de servicio para la personalización del modelo - Amazon Bedrock
Relación de confianzaPermisos para acceder a los archivos de formación y validación y para escribir los archivos de salida en S3

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear un rol de servicio para la personalización del modelo

Para usar un rol personalizado para la personalización del modelo en lugar del que Amazon Bedrock crea automáticamente, cree un rol de IAM y adjunte los siguientes permisos siguiendo los pasos que se indican en Crear un rol para delegar permisos a un AWS servicio.

  • Relación de confianza

  • Permisos para acceder a los datos de entrenamiento y validación en S3 y para escribir los datos de salida en S3

  • (Opcional) Si cifra alguno de los siguientes recursos con una clave KMS, permisos para descifrar la clave (consulte Cifrado de trabajos y artefactos de personalización de modelos)

    • Un trabajo de personalización del modelo o el modelo personalizado resultante

    • Los datos de entrenamiento, validación o salida para el trabajo de personalización del modelo

Relación de confianza

La siguiente política permite a Amazon Bedrock asumir este rol y realizar el trabajo de personalización de modelos. A continuación, se muestra un ejemplo de política que puede utilizar.

Si lo desea, puede restringir el alcance del permiso para prevenir situaciones confusas entre servicios utilizando una o más claves de contexto de condiciones globales con el Condition campo. Para obtener más información, consulte Claves de contexto de condición globales de AWS.

  • Configure el valor aws:SourceAccount en el ID de su cuenta.

  • (Opcional) Usa la ArnLike condición ArnEquals o para restringir el alcance a tareas específicas de personalización de modelos en tu ID de cuenta.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-customization-job/*"
                }
            }
        }
    ] 
}

Permisos para acceder a los archivos de formación y validación y para escribir los archivos de salida en S3

Adjunta la siguiente política para permitir que el rol acceda a tus datos de entrenamiento y validación y al depósito en el que escribir los datos de salida. Sustituya los valores de la Resource lista por los nombres reales de los cubos.

Para restringir el acceso a una carpeta específica de un depósito, añade una clave de s3:prefix condición a la ruta de la carpeta. Puedes seguir el ejemplo de política de usuario del Ejemplo 2: Obtener una lista de objetos de un depósito con un prefijo específico 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::training-bucket",
                "arn:aws:s3:::training-bucket/*",
                "arn:aws:s3:::validation-bucket",
                "arn:aws:s3:::validation-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::output-bucket",
                "arn:aws:s3:::output-bucket/*"
            ]
        }
    ]
}