As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criar um perfil de serviço para a personalização de modelo
Para usar um perfil personalizado para a personalização de modelo, em vez daquele que o Amazon Bedrock cria automaticamente, crie um perfil do IAM e anexe as permissões abaixo seguindo as etapas em Criar um perfil para delegar permissões a um serviço da AWS.
-
Relação de confiança
-
Permissões para acessar os dados de treinamento e de validação no S3 e gravar os dados de saída no S3
-
(Opcional) Se você criptografar qualquer um dos recursos a seguir com uma chave do KMS, permissões para descriptografar a chave (consulte Criptografia de trabalhos de personalização de modelos e artefatos)
-
Um trabalho de personalização de modelo ou o modelo personalizado resultante.
-
Dados de treinamento, validação ou saída do trabalho de personalização do modelo
-
Tópicos
Relação de confiança
A política a seguir permite que o Amazon Bedrock assuma esse perfil e realize o trabalho de personalização do modelo. Veja um exemplo de política que é possível usar.
Opcionalmente, é possível restringir o escopo da permissão da prevenção do problema “representante confuso” entre serviços usando uma ou mais chaves de contexto de condição global com o campo Condition
. Para obter mais informações, consulte Chaves de contexto de condição global da AWS.
-
Defina o valor
aws:SourceAccount
para o ID da conta. -
(Opcional) Use a condição
ArnEquals
ouArnLike
para restringir o escopo a trabalhos específicos de personalização de modelo no ID de sua conta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
account-id
" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id
:model-customization-job/*" } } } ] }
Permissões para acessar arquivos de treinamento e de validação e gravar os arquivos de saída no S3
Anexe a política a seguir para permitir que o perfil acesse os dados de treinamento e de validação e o bucket no qual os dados de saída são gravados. Substitua os valores na lista Resource
pelos nomes reais dos buckets.
Para restringir o acesso a uma pasta específica em um bucket, adicione uma chave de condição s3:prefix
ao caminho da pasta. É possível seguir o exemplo de Política de usuário no Exemplo 2: obter uma lista de objetos em um bucket com um prefixo específico
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
training-bucket
", "arn:aws:s3:::training-bucket/*
", "arn:aws:s3:::validation-bucket
", "arn:aws:s3:::validation-bucket/*
" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::output-bucket
", "arn:aws:s3:::output-bucket/*
" ] } ] }