本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立用於匯入預先訓練模型的服務角色
<a name="model-import-iam-role"></a>

若要使用自訂角色進行模型匯入，請建立 IAM 服務角色並連接下列許可。如需如何在 IAM 中建立服務角色的資訊，請參閱[建立角色以將許可委派給 AWS服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。

這些許可適用於將模型匯入 Amazon Bedrock 的兩種方法：
+ **自訂模型匯入任務** — 用於匯入自訂開放原始碼基礎模型 (例如 Mistral AI 或 Llama 模型)。如需詳細資訊，請參閱[使用自訂模型匯入，將自訂的開放原始碼模型匯入 Amazon Bedrock](model-customization-import-model.md)。
+ **建立自訂模型** — 用於匯入您在 SageMaker AI 中微調的 Amazon Nova 模型。如需詳細資訊，請參閱[匯入 SageMaker AI 訓練的 Amazon Nova 模型](import-with-create-custom-model.md)。

**Topics**
+ [信任關係](#model-import-iam-role-trust)
+ [在 Amazon S3 中存取模型檔案的許可](#model-import-iam-role-s3)

## 信任關係
<a name="model-import-iam-role-trust"></a>

下列政策允許 Amazon Bedrock 擔任此角色，並執行模型匯入操作。以下顯示您可使用的範例政策。

您可以選擇性地限制[跨服務混淆代理人預防](cross-service-confused-deputy-prevention.md)的許可範圍，方法是使用一或多個全域條件內容索引鍵搭配 `Condition` 欄位。如需詳細資訊，請參閱 [AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
+ 將 `aws:SourceAccount` 值設定為您的帳戶 ID。
+ (選用) 使用 `ArnEquals` 或 `ArnLike` 條件，將範圍限制為帳戶中的特定操作。下列範例會限制自訂模型匯入任務的存取權。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-import-job/*"
                }
            }
        }
    ]
}
```

------

## 在 Amazon S3 中存取模型檔案的許可
<a name="model-import-iam-role-s3"></a>

連接下列政策以允許角色存取 S3 儲存貯體中的模型檔案：將 `Resource` 清單中的值取代為您實際的儲存貯體名稱。

對於自訂模型匯入任務，這是您自己的 Amazon S3 儲存貯體，其中包含自訂的開放原始碼模型檔案。若要從 SageMaker AI 訓練 Amazon Nova 模型建立自訂模型，這是 SageMaker AI 存放訓練模型成品的 Amazon 受管 Amazon S3 儲存貯體。當您執行第一個 SageMaker AI 訓練任務時 SageMaker AI 會建立此儲存貯體。

若要限制對儲存貯體中特定資料夾的存取，請使用資料夾路徑新增 `s3:prefix` 條件索引鍵。您可以遵循[範例 2：取得具有特定字首之儲存貯體中的物件清單](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2)中的**使用者政策**範例 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}
```

------