建立模型匯入的服務角色

若要使用自訂角色進行模型匯入，而不是自動建立的 Amazon Bdrock 角色，請按照建立角色以委派許可給服務中的步驟，建立 IAM 角色並附加以下許可。 AWS

信任關係

以下政策允許 Amazon 基岩擔任此角色並執行模型匯入任務。以下顯示您可使用的範例政策。

您可以選擇性地在Condition欄位中使用一或多個全域條件內容索引鍵，來限制跨服務混淆副預防的權限範圍。如需詳細資訊，請參閱 AWS 全域條件內容索引鍵。

• 將 aws:SourceAccount 值設定為您的帳戶 ID。

• (選擇性) 使用ArnEquals或ArnLike條件，將範圍限制為帳戶 ID 中的特定模型匯入工作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-import-job/*"
                }
            }
        }
    ]
}

在 Amazon S3 中存取自訂模型檔案的許可

附加下列政策以允許角色存取 Amazon S3 儲存貯體中的自訂模型檔案。將Resource清單中的值取代為您的實際值區名稱。

若要限制儲存貯體中特定資料夾的存取權，請使用資料夾路徑新增s3:prefix條件金鑰。您可以依照範例 2：取得值區中具有特定前置詞的物件清單中的使用者政策範例

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "account-id"
                }
            }
        }
    ]
}