Buat peran layanan untuk kustomisasi model - Amazon Bedrock
Hubungan kepercayaanIzin untuk mengakses file pelatihan dan validasi dan untuk menulis file output di S3

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat peran layanan untuk kustomisasi model

Untuk menggunakan peran kustom untuk penyesuaian model alih-alih yang dibuat Amazon Bedrock secara otomatis, buat peran IAM dan lampirkan izin berikut dengan mengikuti langkah-langkah di Membuat peran untuk mendelegasikan izin ke layanan. AWS

  • Hubungan kepercayaan

  • Izin untuk mengakses data pelatihan dan validasi Anda di S3 dan untuk menulis data keluaran Anda ke S3

  • (Opsional) Jika Anda mengenkripsi salah satu sumber daya berikut dengan kunci KMS, izin untuk mendekripsi kunci (lihat) Enkripsi pekerjaan kustomisasi model dan artefak

    • Pekerjaan kustomisasi model atau model kustom yang dihasilkan

    • Data pelatihan, validasi, atau output untuk pekerjaan kustomisasi model

Hubungan kepercayaan

Kebijakan berikut memungkinkan Amazon Bedrock untuk mengambil peran ini dan melaksanakan pekerjaan penyesuaian model. Berikut ini menunjukkan contoh kebijakan yang dapat Anda gunakan.

Anda dapat secara opsional membatasi ruang lingkup izin untuk pencegahan wakil kebingungan lintas layanan dengan menggunakan satu atau lebih kunci konteks kondisi global dengan bidang tersebut. Condition Untuk informasi selengkapnya, lihat kunci konteks kondisi AWS global.

  • Tetapkan aws:SourceAccount nilainya ke ID akun Anda.

  • (Opsional) Gunakan ArnLike kondisi ArnEquals atau untuk membatasi ruang lingkup pada pekerjaan penyesuaian model tertentu di ID akun Anda.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-customization-job/*"
                }
            }
        }
    ] 
}

Izin untuk mengakses file pelatihan dan validasi dan untuk menulis file output di S3

Lampirkan kebijakan berikut untuk memungkinkan peran mengakses data pelatihan dan validasi Anda serta bucket untuk menulis data keluaran Anda. Ganti nilai dalam Resource daftar dengan nama bucket Anda yang sebenarnya.

Untuk membatasi akses ke folder tertentu dalam bucket, tambahkan kunci s3:prefix kondisi dengan jalur folder Anda. Anda dapat mengikuti contoh Kebijakan pengguna di Contoh 2: Mendapatkan daftar objek dalam bucket dengan awalan tertentu 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::training-bucket",
                "arn:aws:s3:::training-bucket/*",
                "arn:aws:s3:::validation-bucket",
                "arn:aws:s3:::validation-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::output-bucket",
                "arn:aws:s3:::output-bucket/*"
            ]
        }
    ]
}