Anforderungen an die Servicerolle für Jobs zur Bewertung von Modellen am Menschen

Geben Sie zwei Servicerollen an, um einen Auftrag zur Modellbewertung zu erstellen, bei dem Bewerter eingesetzt werden.

In den folgenden Listen sind die IAM Richtlinienanforderungen für jede erforderliche Servicerolle zusammengefasst, die in der Amazon Bedrock-Konsole angegeben werden muss.

Zusammenfassung der IAM Richtlinienanforderungen für die Amazon Bedrock-Servicerolle

Sie müssen eine Vertrauensrichtlinie anfügen, die Amazon Bedrock als den Service-Prinzipal definiert.
Sie müssen Amazon Bedrock erlauben, die ausgewählten Modelle in Ihrem Namen aufzurufen.
Sie müssen Amazon Bedrock Zugriff auf den S3-Bucket gewähren, der Ihren Prompt-Datensatz enthält, sowie auf den S3-Bucket, in dem Sie die Ergebnisse speichern möchten.
Sie müssen Amazon Bedrock erlauben, die erforderlichen Human-Loop-Ressourcen in Ihrem Konto zu erstellen.
(Empfohlen) Verwenden Sie einen Condition Block, um Konten anzugeben, auf die zugegriffen werden kann.
(Optional) Sie müssen Amazon Bedrock erlauben, Ihren KMS Schlüssel zu entschlüsseln, wenn Sie Ihren Prompt-Dataset-Bucket oder den Amazon S3 S3-Bucket, in dem Sie die Ergebnisse speichern möchten, verschlüsselt haben.

Zusammenfassung der IAM Richtlinienanforderungen für die SageMaker Amazon-Servicerolle

Sie müssen eine Vertrauensrichtlinie beifügen, die SageMaker als Service Principal definiert ist.
Sie müssen den SageMaker Zugriff auf den S3-Bucket zulassen, der Ihren Prompt-Datensatz enthält, und auf den S3-Bucket, in dem Sie die Ergebnisse speichern möchten.
(Optional) Sie müssen die Verwendung Ihrer vom Kunden verwalteten Schlüssel zulassen SageMaker , wenn Sie Ihren Prompt-Dataset-Bucket oder den Speicherort, an dem Sie die Ergebnisse haben wollten, verschlüsselt haben.

Informationen zum Erstellen einer benutzerdefinierten Servicerolle finden Sie im IAMBenutzerhandbuch unter Erstellen einer Rolle, die eine benutzerdefinierte Vertrauensrichtlinie verwendet.

Erforderliche Amazon S3 IAM S3-Aktionen

Das folgende Richtlinienbeispiel gewährt Zugriff auf die S3-Buckets, in denen Ihre Ergebnisse zur Modellbewertung gespeichert sind, sowie Zugriff auf den von Ihnen angegebenen benutzerdefinierten Prompt-Datensatz. Sie müssen diese Richtlinie sowohl der SageMaker Servicerolle als auch der Amazon Bedrock-Servicerolle zuordnen.


{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowAccessToCustomDatasets",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::custom-prompt-dataset"
        ]
    },
    {
        "Sid": "AllowAccessToOutputBucket",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetBucketLocation",
            "s3:AbortMultipartUpload",
            "s3:ListBucketMultipartUploads"
        ],
        "Resource": [
            "arn:aws:s3:::model_evaluation_job_output"
        ]
    }
]
}

Erforderliche Amazon Bedrock-Aktionen IAM

Damit Amazon Bedrock das Modell aufrufen kann, das Sie in der automatischen Modellevaluierung angeben möchten, fügen Sie der Amazon Bedrock-Servicerolle die folgende Richtlinie hinzu.


{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowSpecificModels",
        "Effect": "Allow",
        "Action": [
            "bedrock:InvokeModel",
            "bedrock:InvokeModelWithResponseStream",
            "bedrock:GetProvisionedModelThroughput",
            "bedrock:GetInferenceProfile",
            "bedrock:ListInferenceProfiles"
        ],
        "Resource": [
            "arn:aws:bedrock:region::foundation-model/model-id-of-foundational-model",
            "arn:aws:bedrock:region:111122223333:inference-profile/*",
            "arn:aws:bedrock:region:111122223333:provisioned-model/*"
        ]
    }
]
}

Erforderliche Amazon Augmented IAM AI-Aktionen

Sie müssen auch eine Richtlinie erstellen, die es Amazon Bedrock ermöglicht, Ressourcen zu erstellen, die sich auf Jobs zur Bewertung von Modellen am Menschen beziehen. Da Amazon Bedrock die erforderlichen Ressourcen erstellt, um den Auftrag zur Modellbewertung zu starten, müssen Sie "Resource": "*" verwenden. Sie müssen diese Richtlinie der Amazon-Bedrock-Servicerolle anfügen.


{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "ManageHumanLoops",
        "Effect": "Allow",
        "Action": [
            "sagemaker:StartHumanLoop",
            "sagemaker:DescribeFlowDefinition",
            "sagemaker:DescribeHumanLoop",
            "sagemaker:StopHumanLoop",
            "sagemaker:DeleteHumanLoop"
        ],
        "Resource": "*"
    }
]
}

Anforderungen an den Service-Prinzipal (Amazon Bedrock)

Sie müssen auch eine Vertrauensrichtlinie angeben, die Amazon Bedrock als Service-Prinzipal definiert. Dadurch kann Amazon Bedrock die Rolle übernehmen.


{
"Version": "2012-10-17",
"Statement": [{
    "Sid": "AllowBedrockToAssumeRole",
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333"
        },
        "ArnEquals": {
            "aws:SourceArn": "arn:aws:bedrock:AWS-Region:111122223333:evaluation-job/*"
        }
    }
}]
}

Hauptanforderungen für den Service () SageMaker

Sie müssen auch eine Vertrauensrichtlinie angeben, die Amazon Bedrock als Service-Prinzipal definiert. Dies ermöglicht es SageMaker , die Rolle zu übernehmen.


{
"Version": "2012-10-17",
"Statement": [
{
  "Sid": "AllowSageMakerToAssumeRole",
  "Effect": "Allow",
  "Principal": {
    "Service": "sagemaker.amazonaws.com"
  },
  "Action": "sts:AssumeRole"
}
]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Automatische Aufträge zur Modellbewertung

Datenverschlüsselung