モデルインポート用のサービスロールの作成 - Amazon Bedrock
信頼関係Amazon S3 のカスタムモデルファイルにアクセスする権限

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

モデルインポート用のサービスロールの作成

Amazon Bedrock が自動的に作成するロールの代わりにカスタムロールをモデルインポートに使用するには、「サービスにアクセス権限を委任するロールの作成」の手順に従って IAM ロールを作成し、以下のアクセス権限をアタッチします。 AWS

信頼関係

以下のポリシーにより、Amazon Bedrock がこの役割を引き受け、モデルのインポートジョブを実行できます。使用するポリシーの例を下記に示します。

フィールドに 1 つ以上のグローバル条件コンテキストキーを使用することにより、サービス間の混乱した代理防止のための権限の範囲を任意で制限できますCondition詳細については、「AWS グローバル条件コンテキストキー」を参照してください。

  • aws:SourceAccount の値をアカウント ID に設定します。

  • (オプション) ArnEquals or ArnLike 条件を使用して、アカウント ID 内の特定のモデルインポートジョブに範囲を制限します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-import-job/*"
                }
            }
        }
    ]
}

Amazon S3 のカスタムモデルファイルにアクセスする権限

次のポリシーをアタッチして、ロールが Amazon S3 バケット内のカスタムモデルファイルにアクセスできるようにします。Resourceリスト内の値を実際のバケット名に置き換えてください。

バケット内の特定のフォルダーへのアクセスを制限するには、s3:prefixフォルダーパスに条件キーを追加します。「例 2: 特定のプレフィックスを持つバケット内のオブジェクトのリストを取得するのユーザーポリシーの例に従うことができます

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "account-id"
                }
            }
        }
    ]
}