기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
모델 사용자 지정을 위한 서비스 역할 생성
Amazon Bedrock에서 자동으로 생성하는 역할 대신 사용자 지정 역할을 모델 사용자 지정에 사용하려면 서비스에 권한을 위임하기 위한 역할 생성의 단계에 따라 IAM 역할을 생성하고 다음 권한을 연결하십시오. AWS
-
신뢰 관계
-
S3의 교육 및 검증 데이터에 액세스하고 출력 데이터를 S3에 쓸 수 있는 권한
-
(선택 사항) KMS 키로 다음 리소스 중 하나를 암호화하는 경우 키를 복호화할 수 있는 권한(모델 사용자 지정 작업 및 아티팩트의 암호화 참조)
-
모델 사용자 지정 작업 또는 그에 따른 사용자 지정 모델
-
모델 사용자 지정 작업용 훈련, 검증 또는 출력 데이터
-
신뢰 관계
다음 정책은 Amazon Bedrock이 이 역할을 맡아 모델 사용자 지정 작업을 수행하도록 허용합니다. 아래에서는 사용 가능한 정책 예제를 보여줍니다.
선택적으로 Condition
필드에 하나 이상의 글로벌 조건 컨텍스트 키를 사용하여 서비스 간 혼동 방지 권한 범위를 제한할 수 있습니다. 자세한 정보는 AWS 전역 조건 컨텍스트 키를 참조하세요.
-
aws:SourceAccount
값을 계정 ID로 설정합니다. -
(선택 사항)
ArnEquals
orArnLike
조건을 사용하여 계정 ID의 특정 모델 사용자 지정 작업으로 범위를 제한할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
account-id
" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id
:model-customization-job/*" } } } ] }
교육 및 검증 파일에 액세스하고 S3에 출력 파일을 작성할 수 있는 권한
다음 정책을 연결하여 역할이 훈련 및 검증 데이터와 출력 데이터를 쓸 버킷에 액세스할 수 있도록 허용하십시오. Resource
목록의 값을 실제 버킷 이름으로 바꾸십시오.
버킷의 특정 폴더에 대한 액세스를 제한하려면 폴더 경로와 함께 s3:prefix
조건 키를 추가하십시오. 예제 2: 특정 접두사를 가진 버킷의 객체 목록 가져오기의 사용자 정책 예제를 따를 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
training-bucket
", "arn:aws:s3:::training-bucket/*
", "arn:aws:s3:::validation-bucket
", "arn:aws:s3:::validation-bucket/*
" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::output-bucket
", "arn:aws:s3:::output-bucket/*
" ] } ] }