为模型导入创建服务角色

要使用自定义角色来导入模型，而不是 Amazon Bedrock 自动创建的角色，请按照创建向 AWS 服务委派权限的角色中的步骤创建一个 IAM 角色并附加以下权限。

主题

信任关系
访问 Amazon S3 中自定义模型文件的权限

信任关系

以下策略允许 Amazon Bedrock 担任此角色并执行模型导入任务。下面所示为您可以使用的示例策略。

您可以选择通过在Condition字段中使用一个或多个全局条件上下文密钥来限制跨服务混淆副手预防的权限范围。有关更多信息，请参阅 AWS 全局条件上下文键。

将 aws:SourceAccount 值设置为您的账户 ID。
（可选）使用ArnEquals或ArnLike条件将范围限制在您的账户 ID 中的特定模型导入任务范围内。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-import-job/*"
                }
            }
        }
    ]
}

访问 Amazon S3 中自定义模型文件的权限

附上以下策略以允许该角色访问您的 Amazon S3 存储桶中的自定义模型文件。将Resource列表中的值替换为您实际的存储桶名称。

要限制对存储桶中特定文件夹的访问权限，请在您的文件夹路径中添加s3:prefix条件密钥。您可以按照示例 2 中的用户策略示例进行操作：获取带有特定前缀的存储桶中的对象列表


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "account-id"
                }
            }
        }
    ]
}

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

模型定制服务角色

代理服务角色