本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为导入预训练模型创建服务角色
<a name="model-import-iam-role"></a>

要使用自定义角色导入模型，您可以创建一个 IAM 服务角色并附加以下权限。有关如何在 IAM 中创建服务角色的信息，请参阅[创建向AWS服务委派权限的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。

这些权限同时适用于以下两种将模型导入 Amazon Bedrock 的方法：
+ **自定义模型导入作业** – 用于导入自定义的开源基础模型（如 Mistral AI 或 Llama 模型）。有关更多信息，请参阅 [使用自定义模型导入功能将自定义的开源模型导入 Amazon Bedrock 中](model-customization-import-model.md)。
+ **创建自定义模型**-用于导入在 SageMaker AI 中经过微调的Amazon Nova模型。有关更多信息，请参阅 [导入 SageMaker 经过人工智能训练的 Amazon Nova 模型](import-with-create-custom-model.md)。

**Topics**
+ [信任关系](#model-import-iam-role-trust)
+ [对 Amazon S3 中的模型文件的访问权限](#model-import-iam-role-s3)

## 信任关系
<a name="model-import-iam-role-trust"></a>

以下策略允许 Amazon Bedrock 代入此角色并执行模型导入操作。下面所示为您可以使用的示例策略。

您可以选择使用带有 `Condition` 字段的一个或多个全局条件上下文键来限制权限范围，以防止[跨服务混淆代理](cross-service-confused-deputy-prevention.md)。有关更多信息，请参阅 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
+ 将 `aws:SourceAccount` 值设置为您的账户 ID。
+ （可选）使用 `ArnEquals` 或 `ArnLike` 条件将范围限制为账户中的特定操作。以下示例限制对自定义模型导入作业的访问权限。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-import-job/*"
                }
            }
        }
    ]
}
```

------

## 对 Amazon S3 中的模型文件的访问权限
<a name="model-import-iam-role-s3"></a>

附加以下策略，以允许角色访问 Amazon S3 存储桶中的模型文件。将 `Resource` 列表中的值替换为您实际的存储桶名称。

对于自定义模型导入作业，这是您自己的 Amazon S3 存储桶，其中包含自定义的开源模型文件。为了根据 SageMaker 经过人工智能训练的模型创建自定义Amazon Nova模型，这是亚马逊管理的 Amazon S3 存储桶，A SageMaker I 存储在其中存储经过训练的模型工件。 SageMaker 当你运行第一个 AI 训练作业时， SageMaker AI 会创建这个存储桶。

要限制对存储桶中特定文件夹的访问，请在您的文件夹路径中添加 `s3:prefix` 条件键。您可以按照[示例 2：获取存储桶中具有特定前缀的对象列表](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2)中的**用户策略**示例操作 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}
```

------