Erstellen Sie eine Servicerolle für die Modellanpassung - Amazon Bedrock
VertrauensstellungBerechtigungen für den Zugriff auf Schulungs- und Validierungsdateien sowie für das Schreiben von Ausgabedateien in S3

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine Servicerolle für die Modellanpassung

Um anstelle der von Amazon Bedrock automatisch erstellten Rolle eine benutzerdefinierte Rolle für die Modellanpassung zu verwenden, erstellen Sie eine IAM-Rolle und fügen Sie die folgenden Berechtigungen hinzu, indem Sie die Schritte unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen Service befolgen. AWS

  • Vertrauensstellung

  • Berechtigungen für den Zugriff auf Ihre Schulungs- und Validierungsdaten in S3 und zum Schreiben Ihrer Ausgabedaten in S3

  • (Optional) Berechtigungen zum Entschlüsseln des Schlüssels, wenn Sie eine der folgenden Ressourcen mit einem KMS-Schlüssel verschlüsseln (siehe Verschlüsselung von Modellierungsanpassungsjobs und Artefakten)

    • Ein Auftrag zur Modellanpassung oder das daraus resultierende benutzerdefinierte Modell

    • Die Trainings-, Validierungs- und Ausgabedaten für den Auftrag zur Modellanpassung

Vertrauensstellung

Mit der folgenden Richtlinie kann Amazon Bedrock diese Rolle übernehmen und den Auftrag zur Modellanpassung ausführen. Das folgende Beispiel zeigt eine Richtinie, die Sie verwenden können.

Sie können optional den Gültigkeitsbereich für die dienstübergreifende Verhinderung verwirrter Stellvertreter einschränken, indem Sie für das Condition Feld einen oder mehrere globale Bedingungskontextschlüssel verwenden. Weitere Informationen finden Sie unter Globale AWS -Bedingungskontextschlüssel.

  • Legen Sie den Wert aws:SourceAccount auf Ihre Konto-ID fest.

  • (Optional) Verwenden Sie die ArnLike Bedingung ArnEquals oder, um den Geltungsbereich auf bestimmte Aufträge zur Modellanpassung in Ihrer Konto-ID zu beschränken.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-customization-job/*"
                }
            }
        }
    ] 
}

Berechtigungen für den Zugriff auf Schulungs- und Validierungsdateien sowie für das Schreiben von Ausgabedateien in S3

Fügen Sie die folgende Richtlinie hinzu, damit die Rolle auf Ihre Schulungs- und Validierungsdaten sowie auf den Bucket zugreifen kann, in den Ihre Ausgabedaten geschrieben werden sollen. Ersetzen Sie die Werte in der Resource Liste durch Ihre tatsächlichen Bucket-Namen.

Um den Zugriff auf einen bestimmten Ordner in einem Bucket einzuschränken, fügen Sie einen s3:prefix Bedingungsschlüssel mit Ihrem Ordnerpfad hinzu. Sie können dem Beispiel für eine Benutzerrichtlinie in Beispiel 2 folgen: Abrufen einer Liste von Objekten in einem Bucket mit einem bestimmten Präfix 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::training-bucket",
                "arn:aws:s3:::training-bucket/*",
                "arn:aws:s3:::validation-bucket",
                "arn:aws:s3:::validation-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::output-bucket",
                "arn:aws:s3:::output-bucket/*"
            ]
        }
    ]
}