为模型自定义创建服务角色 - Amazon Bedrock

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为模型自定义创建服务角色

要使用自定义角色而不是 Amazon Bedrock 自动创建的角色进行模型定制,请按照创建角色向 AWS 服务委派权限中的步骤创建一个 IAM 角色并附加以下权限

  • 信任关系

  • 访问 S3 中的训练和验证数据以及将输出数据写入 S3 的权限

  • (可选)如果您使用 KMS 密钥加密以下任何资源,则还有解密密钥的权限(请参阅对模型自定义任务和构件进行加密

    • 模型自定义作业或生成的自定义模型

    • 用于模型自定义作业的训练、验证和输出数据

信任关系

以下策略允许 Amazon Bedrock 担任此角色并执行模型自定义作业。下面所示为您可以使用的示例策略。

您可以选择通过在Condition字段中使用一个或多个全局条件上下文密钥来限制跨服务混淆副手预防的权限范围。有关更多信息,请参阅 AWS 全局条件上下文键

  • aws:SourceAccount 值设置为您的账户 ID。

  • (可选)使用ArnEqualsArnLike条件将范围限制在您的账户 ID 中的特定模型自定义任务范围内。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-customization-job/*" } } } ] }

访问训练和验证文件以及在 S3 中写入输出文件的权限

附加以下策略以允许该角色访问您的训练和验证数据以及向其写入输出数据的存储桶。将Resource列表中的值替换为您实际的存储桶名称。

要限制对存储桶中特定文件夹的访问权限,请在您的文件夹路径中添加s3:prefix条件密钥。您可以按照示例 2 中的用户策略示例进行操作:获取带有特定前缀的存储桶中的对象列表

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::training-bucket", "arn:aws:s3:::training-bucket/*", "arn:aws:s3:::validation-bucket", "arn:aws:s3:::validation-bucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::output-bucket", "arn:aws:s3:::output-bucket/*" ] } ] }