翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

モデルカスタマイズ用のサービスロールの作成

Amazon Bedrock が自動的に作成するロールの代わりにカスタムロールを使用してモデルをカスタマイズするには、「サービスにアクセス権限を委任するロールの作成」の手順に従って IAM ロールを作成し、以下のアクセス権限をアタッチします。 AWS

信頼関係

以下のポリシーでは、Amazon Bedrock がこのロールを引き受け、モデルカスタマイズジョブを実行できます。使用するポリシーの例を下記に示します。

Conditionフィールドに 1 つ以上のグローバル条件コンテキストキーを使用することにより、サービス間の混乱した代理防止のための権限の範囲を任意で制限できます。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-customization-job/*"
                }
            }
        }
    ] 
}

トレーニングファイルや検証ファイルにアクセスし、S3 に出力ファイルを書き込む権限

次のポリシーをアタッチして、トレーニングデータと検証データ、および出力データを書き込むバケットにロールがアクセスできるようにします。Resourceリスト内の値を実際のバケット名に置き換えてください。

バケット内の特定のフォルダーへのアクセスを制限するには、s3:prefixフォルダーパスに条件キーを追加します。「例 2: 特定のプレフィックスを持つバケット内のオブジェクトのリストを取得する」のユーザーポリシーの例に従うことができます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::training-bucket",
                "arn:aws:s3:::training-bucket/*",
                "arn:aws:s3:::validation-bucket",
                "arn:aws:s3:::validation-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::output-bucket",
                "arn:aws:s3:::output-bucket/*"
            ]
        }
    ]
}