翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Create a service role for model customization
Amazon Bedrock が自動的に作成するロールの代わりにカスタムロールを使用してモデルをカスタマイズするには、「AWS サービスにアクセス許可を委任するロールの作成」の手順に従って IAM ロールを作成し、以下のアクセス許可をアタッチします。
-
信頼関係
-
S3 のトレーニングデータや検証データにアクセスし、出力データを S3 書き込むアクセス許可
-
(オプション) 以下のリソースを KMS キーで暗号化する場合、キーを復号化するアクセス許可 (「モデルのカスタマイズジョブとアーティファクトの暗号化」を参照)
-
モデルカスタマイズジョブ、または生成されたカスタムモデル
-
モデルカスタマイズジョブ用のトレーニング、検証、または出力データ
-
信頼関係
以下のポリシーでは、Amazon Bedrock がこのロールを引き受け、モデルカスタマイズジョブを実行できます。使用するポリシーの例を下記に示します。
Condition フィールドで 1 つ以上のグローバル条件コンテキストキーを使用することで、必要に応じて、サービス間の混乱した使節を回避するためのアクセス許可の範囲を制限できます。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。
-
aws:SourceAccountの値をアカウント ID に設定します。 -
(オプション)
ArnEqualsまたはArnLike条件を使用して、アカウント ID の特定のモデルカスタムジョブの範囲を制限します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-customization-job/*" } } } ] }
S3 のトレーニングファイルや検証ファイルにアクセスし、出力ファイルを書き込むアクセス許可
次のポリシーをアタッチして、ロールがトレーニングデータと検証データ、および出力データを書き込むバケットにアクセスできるようにします。Resource リスト内の値を実際のバケット名に置き換えます。
バケット内の特定のフォルダへのアクセスを制限するには、フォルダパスに s3:prefix 条件キーを追加します。「例 2:特定のプレフィックス付きバケットのオブジェクトリストを取得する」のユーザーポリシー例に従います。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::training-bucket", "arn:aws:s3:::training-bucket/*", "arn:aws:s3:::validation-bucket", "arn:aws:s3:::validation-bucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::output-bucket", "arn:aws:s3:::output-bucket/*" ] } ] }
