Creare un ruolo di servizio per la personalizzazione del modello - Amazon Bedrock
Relazione di attendibilitàAutorizzazioni per accedere ai file di formazione e convalida e per scrivere file di output in S3

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creare un ruolo di servizio per la personalizzazione del modello

Per utilizzare un ruolo personalizzato per la personalizzazione del modello anziché quello creato automaticamente da Amazon Bedrock, crea un ruolo IAM e assegna le seguenti autorizzazioni seguendo la procedura descritta in Creazione di un ruolo per delegare le autorizzazioni a un servizio. AWS

  • Relazione di attendibilità

  • Autorizzazioni per accedere ai dati di formazione e convalida in S3 e per scrivere i dati di output su S3

  • (Facoltativo) Se crittografi una delle seguenti risorse con una chiave KMS, le autorizzazioni per decrittare la chiave (consulta Crittografia dei lavori e degli artefatti di personalizzazione del modello)

    • Un processo di personalizzazione del modello o il modello personalizzato risultante

    • Dati di addestramento, convalida e output per il processo di personalizzazione del modello

Relazione di attendibilità

La seguente policy consente ad Amazon Bedrock di assumere questo ruolo ed eseguire il processo di personalizzazione del modello. Di seguito viene riportato un esempio di policy che puoi utilizzare.

Facoltativamente, puoi limitare l'ambito dell'autorizzazione per la prevenzione della confusione tra servizi diversi utilizzando una o più chiavi di contesto delle condizioni globali insieme al campo. Condition Per ulteriori informazioni, consulta Chiavi di contesto delle condizioni globali AWS.

  • Imposta il valore aws:SourceAccount sull'ID del tuo account.

  • (Facoltativo) Utilizza la ArnLike condizione ArnEquals or per limitare l'ambito a specifici lavori di personalizzazione del modello nell'ID dell'account.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-customization-job/*"
                }
            }
        }
    ] 
}

Autorizzazioni per accedere ai file di formazione e convalida e per scrivere file di output in S3

Allega la seguente policy per consentire al ruolo di accedere ai dati di formazione e convalida e al bucket in cui scrivere i dati di output. Sostituisci i valori nell'Resourceelenco con i nomi effettivi dei bucket.

Per limitare l'accesso a una cartella specifica in un bucket, aggiungi una chiave di s3:prefix condizione con il percorso della cartella. Puoi seguire l'esempio di politica utente nell'esempio 2: Ottenere un elenco di oggetti in un bucket con un prefisso specifico 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::training-bucket",
                "arn:aws:s3:::training-bucket/*",
                "arn:aws:s3:::validation-bucket",
                "arn:aws:s3:::validation-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::output-bucket",
                "arn:aws:s3:::output-bucket/*"
            ]
        }
    ]
}