Crie uma função de serviço para personalização do modelo - Amazon Bedrock
Relação de confiançaPermissões para acessar arquivos de treinamento e validação e para gravar arquivos de saída no S3

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie uma função de serviço para personalização do modelo

Para usar uma função personalizada para personalização do modelo em vez da que o Amazon Bedrock cria automaticamente, crie uma função do IAM e anexe as seguintes permissões seguindo as etapas em Criar uma função para delegar permissões a um serviço. AWS

  • Relação de confiança

  • Permissões para acessar seus dados de treinamento e validação no S3 e para gravar seus dados de saída no S3

  • (Opcional) Se você criptografar qualquer um dos recursos a seguir com uma chave do KMS, permissões para descriptografar a chave (consulte Criptografia de tarefas e artefatos de personalização de modelos):

    • Um trabalho de personalização do modelo ou o modelo personalizado resultante.

    • Dados de treinamento, validação ou saída para o trabalho de personalização do modelo.

Relação de confiança

A política a seguir permite que o Amazon Bedrock assuma esse perfil e realize o trabalho de personalização do modelo. Veja a seguir um exemplo de política que você pode usar.

Opcionalmente, você pode restringir o escopo da permissão para prevenção auxiliar confusa entre serviços usando uma ou mais chaves de contexto de condição global com o Condition campo. Para obter mais informações, consulte Chaves de contexto de condição globais da AWS.

  • Defina o valor aws:SourceAccount para o ID da sua conta.

  • (Opcional) Use a ArnLike condição ArnEquals or para restringir o escopo a trabalhos específicos de personalização de modelos no ID da sua conta.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-customization-job/*"
                }
            }
        }
    ] 
}

Permissões para acessar arquivos de treinamento e validação e para gravar arquivos de saída no S3

Anexe a política a seguir para permitir que a função acesse seus dados de treinamento e validação e o bucket no qual gravar seus dados de saída. Substitua os valores na Resource lista pelos nomes reais do bucket.

Para restringir o acesso a uma pasta específica em um bucket, adicione uma chave de s3:prefix condição ao caminho da pasta. Você pode seguir o exemplo de política de usuário no Exemplo 2: Como obter uma lista de objetos em um bucket com um prefixo específico 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::training-bucket",
                "arn:aws:s3:::training-bucket/*",
                "arn:aws:s3:::validation-bucket",
                "arn:aws:s3:::validation-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::output-bucket",
                "arn:aws:s3:::output-bucket/*"
            ]
        }
    ]
}