As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criar um perfil de serviço para a personalização de modelo
<a name="model-customization-iam-role"></a>

Para usar uma função personalizada para personalização do modelo em vez da que o Amazon Bedrock cria automaticamente, crie uma função do IAM e anexe as seguintes permissões seguindo as etapas em [Criar uma função para delegar permissões a](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) um serviço. AWS 
+ Relação de confiança
+ Permissões para acessar os dados de treinamento e de validação no S3 e gravar os dados de saída no S3
+ (Opcional) Se você criptografar qualquer um dos recursos a seguir com uma chave do KMS, permissões para descriptografar a chave (consulte [Criptografia de modelos personalizados](encryption-custom-job.md))
  + Um trabalho de personalização de modelo ou o modelo personalizado resultante.
  + Dados de treinamento, validação ou saída do trabalho de personalização do modelo

**Topics**
+ [Relação de confiança](#model-customization-iam-role-trust)
+ [Permissões para acessar arquivos de treinamento e de validação e gravar os arquivos de saída no S3](#model-customization-iam-role-s3)
+ [(Opcional) Permissões para criar um trabalho de destilação com perfis de inferência entre regiões](#customization-iam-sr-ip)

## Relação de confiança
<a name="model-customization-iam-role-trust"></a>

A política a seguir permite que o Amazon Bedrock assuma esse perfil e realize o trabalho de personalização do modelo. Veja um exemplo de política que é possível usar.

Opcionalmente, é possível restringir o escopo da permissão da [prevenção do problema “representante confuso” entre serviços](cross-service-confused-deputy-prevention.md) usando uma ou mais chaves de contexto de condição global com o campo `Condition`. Para obter mais informações, consulte [Chaves de contexto de condição global da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
+ Defina o valor `aws:SourceAccount` para o ID da conta.
+ (Opcional) Use a condição `ArnEquals` ou `ArnLike` para restringir o escopo a trabalhos específicos de personalização de modelo no ID de sua conta.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "{{123456789012}}"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:{{111122223333}}:model-customization-job/*"
                }
            }
        }
    ]
}
```

------

## Permissões para acessar arquivos de treinamento e de validação e gravar os arquivos de saída no S3
<a name="model-customization-iam-role-s3"></a>

Anexe a política a seguir para permitir que o perfil acesse os dados de treinamento e de validação e o bucket no qual os dados de saída são gravados. Substitua os valores na lista `Resource` pelos nomes reais dos buckets.

Para restringir o acesso a uma pasta específica em um bucket, adicione uma chave de condição `s3:prefix` ao caminho da pasta. É possível seguir o exemplo de **Política de usuário** no [Exemplo 2: obter uma lista de objetos em um bucket com um prefixo específico](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2) 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::{{training-bucket}}",
                "arn:aws:s3:::{{training-bucket/*}}",
                "arn:aws:s3:::{{validation-bucket}}",
                "arn:aws:s3:::{{validation-bucket/*}}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::{{output-bucket}}",
                "arn:aws:s3:::{{output-bucket/*}}"
            ]
        }
    ]
}
```

------

## (Opcional) Permissões para criar um trabalho de destilação com perfis de inferência entre regiões
<a name="customization-iam-sr-ip"></a>

Para usar um perfil de inferência entre regiões para um modelo de professor em um trabalho de destilação, a função de serviço deve ter permissões para invocar o perfil de inferência em um Região da AWS, além do modelo em cada região no perfil de inferência.

Para obter permissões a serem invocadas com um perfil de inferência entre regiões (definido pelo sistema), use a seguinte política como modelo para a política de permissões a ser anexada ao perfil de serviço:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:inference-profile/{{${InferenceProfileId}}}",
                "arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}",
                "arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}"
            ]
        }
    ]
}
```

------