本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立模型匯入的服務角色
若要使用自訂角色進行模型匯入,而不是自動建立的 Amazon Bdrock 角色,請按照建立角色以委派許可給服務中的步驟,建立 IAM 角色並附加以下許可。 AWS
信任關係
以下政策允許 Amazon 基岩擔任此角色並執行模型匯入任務。以下顯示您可使用的範例政策。
您可以選擇性地在Condition
欄位中使用一或多個全域條件內容索引鍵,來限制跨服務混淆副預防的權限範圍。如需詳細資訊,請參閱 AWS 全域條件內容索引鍵。
-
將
aws:SourceAccount
值設定為您的帳戶 ID。 -
(選擇性) 使用
ArnEquals
或ArnLike
條件,將範圍限制為帳戶 ID 中的特定模型匯入工作。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "1", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
account-id
" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id
:model-import-job/*" } } } ] }
在 Amazon S3 中存取自訂模型檔案的許可
附加下列政策以允許角色存取 Amazon S3 儲存貯體中的自訂模型檔案。將Resource
清單中的值取代為您的實際值區名稱。
若要限制儲存貯體中特定資料夾的存取權,請使用資料夾路徑新增s3:prefix
條件金鑰。您可以依照範例 2:取得值區中具有特定前置詞的物件清單中的使用者政策範例
{ "Version": "2012-10-17", "Statement": [ { "Sid": "1", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
bucket
", "arn:aws:s3:::bucket
/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "account-id
" } } } ] }