翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Create a service role for model customization
Amazon Bedrock が自動的に作成するロールの代わりにカスタムロールを使用してモデルをカスタマイズするには、[AWS 「 サービスにアクセス許可を委任するロールを作成する」の手順に従って、IAM ロールを作成し、次のアクセス許可をアタッチします](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
+ 信頼関係
+ S3 のトレーニングデータや検証データにアクセスし、出力データを S3 書き込むアクセス許可
+ (オプション) 以下のリソースを KMS キーで暗号化する場合、キーを復号化するアクセス許可 (「[カスタムモデルの暗号化](encryption-custom-job.md)」を参照)
+ モデルカスタマイズジョブ、または生成されたカスタムモデル
+ モデルカスタマイズジョブ用のトレーニング、検証、または出力データ
**Topics**
+ [信頼関係](#model-customization-iam-role-trust)
+ [S3 のトレーニングファイルや検証ファイルにアクセスし、出力ファイルを書き込むアクセス許可](#model-customization-iam-role-s3)
+ [(オプション) クロスリージョン推論プロファイルを使用して蒸留ジョブを作成するアクセス許可](#customization-iam-sr-ip)
## 信頼関係
以下のポリシーでは、Amazon Bedrock がこのロールを引き受け、モデルカスタマイズジョブを実行できます。使用するポリシーの例を下記に示します。
`Condition` フィールドで 1 つ以上のグローバル条件コンテキストキーを使用することで、必要に応じて、[サービス間の混乱した使節を回避する](cross-service-confused-deputy-prevention.md)ためのアクセス許可の範囲を制限できます。詳細については、「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
+ `aws:SourceAccount` の値をアカウント ID に設定します。
+ (オプション) `ArnEquals` または `ArnLike` 条件を使用して、アカウント ID の特定のモデルカスタムジョブの範囲を制限します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:{{111122223333}}:model-customization-job/*"
}
}
}
]
}
```
------
## S3 のトレーニングファイルや検証ファイルにアクセスし、出力ファイルを書き込むアクセス許可
次のポリシーをアタッチして、ロールがトレーニングデータと検証データ、および出力データを書き込むバケットにアクセスできるようにします。`Resource` リスト内の値を実際のバケット名に置き換えます。
バケット内の特定のフォルダへのアクセスを制限するには、フォルダパスに `s3:prefix` 条件キーを追加します。「[例 2:特定のプレフィックス付きバケットのオブジェクトリストを取得する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2)」の**ユーザーポリシー**例に従います。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{training-bucket}}",
"arn:aws:s3:::{{training-bucket/*}}",
"arn:aws:s3:::{{validation-bucket}}",
"arn:aws:s3:::{{validation-bucket/*}}"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{output-bucket}}",
"arn:aws:s3:::{{output-bucket/*}}"
]
}
]
}
```
------
## (オプション) クロスリージョン推論プロファイルを使用して蒸留ジョブを作成するアクセス許可
ディストリビューションジョブで教師モデルのクロスリージョン推論プロファイルを使用するには、サービスロールに、推論プロファイルの各リージョンのモデルに加えて AWS リージョン、 で推論プロファイルを呼び出すアクセス許可が必要です。
クロスリージョン (システム定義) 推論プロファイルを使用して呼び出すためのアクセス許可については、サービスロールにアタッチするアクセス許可ポリシーのテンプレートとして次のポリシーを使用します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:inference-profile/{{${InferenceProfileId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}"
]
}
]
}
```
------