Buat peran layanan untuk impor model - Amazon Bedrock
Hubungan kepercayaanIzin untuk mengakses file model khusus di Amazon S3

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat peran layanan untuk impor model

Untuk menggunakan peran kustom untuk impor model, bukan yang dibuat Amazon Bedrock secara otomatis, buat peran IAM dan lampirkan izin berikut dengan mengikuti langkah-langkah di Membuat peran untuk mendelegasikan izin ke layanan. AWS

Hubungan kepercayaan

Kebijakan berikut memungkinkan Amazon Bedrock untuk mengambil peran ini dan melaksanakan pekerjaan impor model. Berikut ini menunjukkan contoh kebijakan yang dapat Anda gunakan.

Anda dapat secara opsional membatasi ruang lingkup izin untuk pencegahan wakil kebingungan lintas layanan dengan menggunakan satu atau lebih kunci konteks kondisi global dengan bidang tersebut. Condition Untuk informasi selengkapnya, lihat kunci konteks kondisi AWS global.

  • Tetapkan aws:SourceAccount nilainya ke ID akun Anda.

  • (Opsional) Gunakan ArnLike kondisi ArnEquals atau untuk membatasi ruang lingkup untuk pekerjaan impor model tertentu di ID akun Anda.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-import-job/*"
                }
            }
        }
    ]
}

Izin untuk mengakses file model khusus di Amazon S3

Lampirkan kebijakan berikut untuk mengizinkan peran mengakses file model kustom di bucket Amazon S3 Anda. Ganti nilai dalam Resource daftar dengan nama bucket Anda yang sebenarnya.

Untuk membatasi akses ke folder tertentu dalam bucket, tambahkan kunci s3:prefix kondisi dengan jalur folder Anda. Anda dapat mengikuti contoh Kebijakan pengguna di Contoh 2: Mendapatkan daftar objek dalam bucket dengan awalan tertentu 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "account-id"
                }
            }
        }
    ]
}