本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立模型自訂的服務角色
若要使用自訂角色進行模型自訂,而不是 Amazon Bdrock 自動建立的角色,請按照建立角色以委派許可給服務中的步驟建立 IAM 角色並附加以下許可。 AWS
-
信任關係
-
存取 S3 中的訓練和驗證資料,以及將輸出資料寫入 S3 的權限
-
(選用) 如果您使用 KMS 金鑰加密下列任何資源,則需要解密金鑰的權限 (請參閱 模型自訂工作和人工因素的加密)
-
模型自訂任務或產生的自訂模型
-
模型自訂任務的訓練、驗證或輸出資料
-
信任關係
下列政策允許 Amazon Bedrock 擔任此角色,並執行模型自訂任務。以下顯示您可使用的範例政策。
您可以選擇性地在Condition欄位中使用一或多個全域條件內容索引鍵,來限制跨服務混淆副預防的權限範圍。如需詳細資訊,請參閱 AWS 全域條件內容索引鍵。
-
將
aws:SourceAccount值設定為您的帳戶 ID。 -
(選擇性) 使用
ArnEquals或ArnLike條件,將範圍限制為帳戶 ID 中的特定模型自訂工作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-customization-job/*" } } } ] }
存取訓練和驗證檔案,以及在 S3 中寫入輸出檔案的權限
附加下列原則,以允許角色存取您的訓練和驗證資料,以及要寫入輸出資料的值區。將Resource清單中的值取代為您的實際值區名稱。
若要限制儲存貯體中特定資料夾的存取權,請使用資料夾路徑新增s3:prefix條件金鑰。您可以依照範例 2:取得值區中具有特定前置詞的物件清單中的使用者政策範例
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::training-bucket", "arn:aws:s3:::training-bucket/*", "arn:aws:s3:::validation-bucket", "arn:aws:s3:::validation-bucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::output-bucket", "arn:aws:s3:::output-bucket/*" ] } ] }
