Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Personalización, acceso y seguridad de los modelos
Esta página proporciona información completa sobre seguridad y permisos para todos los tipos de personalización de modelos de Amazon Bedrock, incluidos el ajuste fino, el ajuste fino de refuerzos, la destilación y las operaciones del modelo. Antes de empezar a personalizar un modelo, asegúrese de conocer qué tipo de acceso necesita Amazon Bedrock y considere algunas opciones para proteger sus trabajos y artefactos de personalización.
Las siguientes secciones contienen los permisos necesarios para los distintos escenarios de personalización. Elija los permisos adecuados en función de su caso de uso específico:
## Permisos básicos de personalización del modelo
Todos los trabajos de personalización de modelos requieren estos permisos básicos. Estos se aplican al ajuste fino, la destilación y otros tipos de personalización.
### Creación de un rol de servicio para la personalización de modelos
Amazon Bedrock necesita un rol de servicio AWS Identity and Access Management (IAM) para acceder al bucket de S3 en el que desea almacenar los datos de personalización, entrenamiento y validación de sus modelos. Hay un par de formas de hacerlo:
+ Cree el rol de servicio automáticamente mediante la Consola de administración de AWS.
+ Cree el rol de servicio de forma manual con los permisos adecuados para acceder al bucket de S3.
En el caso de la opción manual, cree un rol de IAM y adjunte los siguientes permisos siguiendo los pasos que se indican en [Crear un rol para delegar permisos a](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) un servicio. AWS
+ Relación de confianza
+ Permisos para acceder a los datos de entrenamiento y validación en S3 y para escribir los datos de salida en S3
+ (Opcional) Si cifra alguno de los siguientes recursos con una clave KMS, permisos para descifrar la clave (consulte [Cifrado de los modelos personalizados](encryption-custom-job.md))
+ Un trabajo de personalización del modelo o el modelo personalizado resultante
+ Los datos de entrenamiento, validación o salida para el trabajo de personalización del modelo
### Relación de confianza
La siguiente política permite a Amazon Bedrock asumir este rol y realizar el trabajo de personalización de modelos. A continuación se muestra un ejemplo de política que puede utilizar.
De forma opcional, puede restringir el alcance del permiso para [evitar que se produzcan errores confusos entre servicios](cross-service-confused-deputy-prevention.md) mediante el uso de una o más claves de contexto de condiciones globales en el campo `Condition`. Para obtener más información, consulte las [claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
+ Configure el valor `aws:SourceAccount` en el ID de su cuenta.
+ (Opcional) Utilice la condición `ArnEquals` o `ArnLike` para restringir el alcance a trabajos de entrenamiento de modelos específicos de su ID de cuenta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-customization-job/*"
}
}
}
]
}
```
------
### Permisos para acceder a los archivos de entrenamiento y validación y escribir los archivos de salida en S3
Asocie la siguiente política para permitir que el rol acceda a sus datos de entrenamiento y validación y al bucket en el que escribir sus datos de salida. Sustituya los valores de la lista `Resource` por los nombres reales de los buckets.
Para restringir el acceso a una carpeta específica de un bucket, añada una clave de condición `s3:prefix` a la ruta de la carpeta. Puede seguir el ejemplo de la **Política de usuario** en el [Ejemplo 2: obtener una lista de objetos en un bucket con un prefijo específico](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::training-bucket",
"arn:aws:s3:::training-bucket/*",
"arn:aws:s3:::validation-bucket",
"arn:aws:s3:::validation-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::output-bucket",
"arn:aws:s3:::output-bucket/*"
]
}
]
}
```
------
## Modele los permisos de copia
Para copiar un modelo a otra región, necesita permisos específicos en función de los permisos actuales de su función y de la configuración del modelo.
1. Si su función no tiene la [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)política asociada, adjunte la siguiente política basada en la identidad a la función para disponer de los permisos mínimos necesarios para copiar modelos y realizar un seguimiento de los trabajos de copia.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CopyModels",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCopyJob",
"bedrock:GetModelCopyJob",
"bedrock:ListModelCopyJobs"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/model-id"
],
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"us-east-1"
]
}
}
}
]
}
```
------
1. (Opcional) Si el modelo que se va a copiar está cifrado con una clave de KMS, asocie una [política de claves a la clave de KMS que ha cifrado el modelo](encryption-custom-job.md#encryption-key-policy-decrypt) para que un rol pueda descifrarlo.
1. (Opcional) Si tiene previsto cifrar la copia del modelo con una clave de KMS, asocie una [política de claves a la clave de KMS que se usará para cifrar el modelo](encryption-custom-job.md#encryption-key-policy-encrypt) para que un rol pueda descifrar el modelo con la clave.
## Permisos de perfil de inferencia entre regiones
Para utilizar un perfil de inferencia entre regiones para un modelo de profesor en un trabajo de síntesis, el rol de servicio debe tener permisos para invocar el perfil de inferencia en un modelo de profesor Región de AWS, además del modelo de cada región del perfil de inferencia.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
]
}
]
}
```
------
## (Opcional) Permisos para crear un trabajo de destilación con un perfil de inferencia entre regiones
Para utilizar un perfil de inferencia entre regiones para un modelo de profesor en un trabajo de destilación, el rol de servicio debe tener permisos para invocar el perfil de inferencia en un Región de AWS, además del modelo de cada región del perfil de inferencia.
Para los permisos que se deben invocar con un perfil de inferencia entre regiones (definido por el sistema), utilice la siguiente política como plantilla para la política de permisos que debe asociar a su rol de servicio:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
]
}
]
}
```
------
## (Opcional) Cifrado de los trabajos y artefactos de personalización de modelos
Cifre los datos de entrada y salida, los trabajos de personalización o las solicitudes de inferencia realizadas a los modelos personalizados. Para obtener más información, consulte [Cifrado de los modelos personalizados](encryption-custom-job.md).
## (Opcional) Protección de los trabajos de personalización de modelos mediante una VPC
Cuando ejecuta un trabajo de personalización de modelos, el trabajo accede a su bucket de Amazon S3 para descargar los datos de entrada y cargar las métricas del trabajo. Para controlar el acceso a sus datos, le recomendamos usar una nube privada virtual (VPC) con [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html). Puede proteger aún más sus datos configurando la VPC para que no estén disponibles en internet y, en su lugar, crear un punto de conexión de interfaz de la VPC con [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) para establecer una conexión privada con sus datos. Para obtener más información sobre cómo Amazon VPC se AWS PrivateLink integra con Amazon Bedrock, consulte. [Protección de los datos con Amazon VPC y AWS PrivateLink](usingVPC.md)
Realice los siguientes pasos para configurar y usar una VPC para los datos de entrenamiento, validación y salida de sus trabajos de personalización de modelos.
**Topics**
+ [Configuración de la VPC para proteger los datos durante la personalización del modelo](#vpc-cm-setup)
+ [Asociación de permisos de VPC a un rol de importación de modelos](#vpc-data-access-role)
+ [Agregación de la configuración de VPC al enviar un trabajo de personalización de modelos](#vpc-config)
### Configuración de la VPC para proteger los datos durante la personalización del modelo
Para configurar una VPC, siga los pasos que se indican en [Configurar una VPC](usingVPC.md#create-vpc). Para proteger aún más la VPC configurando un punto de conexión de VPC de S3 y utilizando políticas de IAM basadas en recursos para restringir el acceso al bucket de S3 que contiene sus datos de personalización de modelos, siga los pasos que se indican en [(Ejemplo) Restricción del acceso a los datos de Amazon S3 mediante VPC](vpc-s3.md).
### Asociación de permisos de VPC a un rol de importación de modelos
Cuando termine de configurar la VPC, asocie los siguientes permisos a su [rol de servicio de personalización de modelos](model-customization-iam-role.md) para permitirle acceder a la VPC. Modifique esta política para permitir el acceso solo a los recursos de VPC que necesita su trabajo. Sustituya los valores *\$1\$1\$1subnet-ids\$1\$1* y *security-group-id* por los de su VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/BedrockManaged": [
"true"
]
},
"ArnEquals": {
"aws:RequestTag/BedrockModelCustomizationJobArn": [
"arn:aws:bedrock:us-east-1:123456789012:model-customization-job/*"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id",
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2",
"arn:aws:ec2:us-east-1:123456789012:security-group/security-group-id"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id",
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2"
],
"ec2:ResourceTag/BedrockModelCustomizationJobArn": [
"arn:aws:bedrock:us-east-1:123456789012:model-customization-job/*"
]
},
"StringEquals": {
"ec2:ResourceTag/BedrockManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"CreateNetworkInterface"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"BedrockManaged",
"BedrockModelCustomizationJobArn"
]
}
}
}
]
}
```
------
### Agregación de la configuración de VPC al enviar un trabajo de personalización de modelos
Tras configurar la VPC y las funciones y permisos necesarios, tal y como se describe en las secciones anteriores, puede crear un trabajo de personalización del modelo que utilice esta VPC.
Al especificar las subredes y los grupos de seguridad de la VPC para un trabajo, Amazon Bedrock crea *interfaces de red elásticas* (ENIs) que se asocian a los grupos de seguridad de una de las subredes. ENIs permita que el trabajo de Amazon Bedrock se conecte a los recursos de su VPC. Para obtener información al respecto ENIs, consulte [Elastic Network Interfaces](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) en la Guía del *usuario de Amazon VPC*. Etiquetas de Amazon Bedrock con las ENIs que crea `BedrockManaged` y `BedrockModelCustomizationJobArn` etiquetas.
Le recomendamos que proporcione al menos una subred en cada zona de disponibilidad.
Puede utilizar los grupos de seguridad para controlar el acceso de Amazon Bedrock a los recursos de su VPC.
Puede configurar la VPC para que use la consola o mediante la API. Elija la pestaña del método que prefiera y siga estos pasos:
------
#### [ Console ]
Para la consola de Amazon Bedrock, debe especificar las subredes y los grupos de seguridad de VPC en la sección de **configuración de VPC** opcional al crear el trabajo de personalización del modelo. Para obtener más información sobre la configuración de trabajos, consulte [Envíe un trabajo de personalización del modelo para su ajuste](model-customization-submit.md).
**nota**
Para un trabajo que incluye una configuración de VPC, la consola no puede crear un nuevo rol de servicio para usted. Siga las instrucciones de [Creación de un rol de servicio para la personalización de modelos](model-customization-iam-role.md) para crear un rol personalizado.
------
#### [ API ]
Al enviar una [CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)solicitud, puede incluir un `VpcConfig` parámetro de solicitud para especificar las subredes de VPC y los grupos de seguridad que se van a utilizar, como en el siguiente ejemplo.
```
"vpcConfig": {
"securityGroupIds": [
"${{sg-0123456789abcdef0}}"
],
"subnets": [
"${{subnet-0123456789abcdef0}}",
"${{subnet-0123456789abcdef1}}",
"${{subnet-0123456789abcdef2}}"
]
}
```
------