Création d'un rôle de service pour la personnalisation du modèle - Amazon Bedrock
Relation d'approbationAutorisations d'accès aux fichiers de formation et de validation et d'écriture de fichiers de sortie dans S3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un rôle de service pour la personnalisation du modèle

Pour utiliser un rôle personnalisé pour la personnalisation du modèle au lieu de celui créé automatiquement par Amazon Bedrock, créez un rôle IAM et associez les autorisations suivantes en suivant les étapes de la section Création d'un rôle pour déléguer des autorisations à un AWS service.

  • Relation d'approbation

  • Autorisations pour accéder à vos données d'entraînement et de validation dans S3 et pour écrire vos données de sortie dans S3

  • (Facultatif) Si vous chiffrez l’une des ressources suivantes avec une clé KMS, autorisations permettant de déchiffrer la clé (voir Chiffrement des tâches et artefacts de personnalisation des modèles)

    • Tâche de personnalisation du modèle ou modèle personnalisé qui en résulte

    • Données d’entraînement, de validation ou de sortie pour la tâche de personnalisation du modèle

Relation d'approbation

La politique suivante autorise Amazon Bedrock à endosser ce rôle et à effectuer la tâche de personnalisation du modèle. L'exemple suivant illustre un exemple de politique que vous pouvez utiliser.

Vous pouvez éventuellement restreindre l'étendue de l'autorisation pour la prévention de la confusion entre les services en utilisant une ou plusieurs clés contextuelles de condition globales avec le Condition champ. Pour plus d’informations, consultez Clés contextuelles de condition globale AWS.

  • Définissez la valeur aws:SourceAccount sur l'ID de votre compte.

  • (Facultatif) Utilisez la ArnLike condition ArnEquals ou pour limiter le champ d'application à des tâches de personnalisation de modèles spécifiques dans votre identifiant de compte.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-customization-job/*"
                }
            }
        }
    ] 
}

Autorisations d'accès aux fichiers de formation et de validation et d'écriture de fichiers de sortie dans S3

Joignez la politique suivante pour autoriser le rôle à accéder à vos données d'entraînement et de validation ainsi qu'au compartiment dans lequel écrire vos données de sortie. Remplacez les valeurs de la Resource liste par les noms de vos compartiments réels.

Pour restreindre l'accès à un dossier spécifique dans un bucket, ajoutez une clé de s3:prefix condition avec le chemin de votre dossier. Vous pouvez suivre l'exemple de politique utilisateur de l'Exemple 2 : Obtenir une liste d'objets dans un bucket avec un préfixe spécifique 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::training-bucket",
                "arn:aws:s3:::training-bucket/*",
                "arn:aws:s3:::validation-bucket",
                "arn:aws:s3:::validation-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::output-bucket",
                "arn:aws:s3:::output-bucket/*"
            ]
        }
    ]
}