Erstellen Sie eine Servicerolle für den Modellimport - Amazon Bedrock
VertrauensstellungBerechtigungen für den Zugriff auf benutzerdefinierte Modelldateien in Amazon S3

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine Servicerolle für den Modellimport

Um anstelle der von Amazon Bedrock automatisch erstellten Rolle eine benutzerdefinierte Rolle für den Modellimport zu verwenden, erstellen Sie eine IAM-Rolle und fügen Sie die folgenden Berechtigungen hinzu, indem Sie die Schritte unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen Service befolgen. AWS

Vertrauensstellung

Die folgende Richtlinie ermöglicht es Amazon Bedrock, diese Rolle zu übernehmen und den Modellimportjob auszuführen. Das folgende Beispiel zeigt eine Richtinie, die Sie verwenden können.

Sie können optional den Gültigkeitsbereich für die dienstübergreifende Verhinderung von Fehlbedienungen einschränken, indem Sie einen oder mehrere globale Bedingungskontextschlüssel für das Condition Feld verwenden. Weitere Informationen finden Sie unter Globale AWS -Bedingungskontextschlüssel.

  • Legen Sie den Wert aws:SourceAccount auf Ihre Konto-ID fest.

  • (Optional) Verwenden Sie die ArnLike Bedingung ArnEquals oder, um den Geltungsbereich auf bestimmte Modellimportaufträge in Ihrer Konto-ID zu beschränken.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-import-job/*"
                }
            }
        }
    ]
}

Berechtigungen für den Zugriff auf benutzerdefinierte Modelldateien in Amazon S3

Fügen Sie die folgende Richtlinie bei, damit die Rolle auf die benutzerdefinierten Modelldateien in Ihrem Amazon S3 S3-Bucket zugreifen kann. Ersetzen Sie die Werte in der Resource Liste durch Ihre tatsächlichen Bucket-Namen.

Um den Zugriff auf einen bestimmten Ordner in einem Bucket einzuschränken, fügen Sie einen s3:prefix Bedingungsschlüssel mit Ihrem Ordnerpfad hinzu. Sie können dem Beispiel für eine Benutzerrichtlinie in Beispiel 2 folgen: Abrufen einer Liste von Objekten in einem Bucket mit einem bestimmten Präfix 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "account-id"
                }
            }
        }
    ]
}