Requisitos de función de servicio para los trabajos de evaluación de bases de conocimientos - Amazon Bedrock

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos de función de servicio para los trabajos de evaluación de bases de conocimientos

Para crear un trabajo de evaluación de la base de conocimientos, debe especificar un rol de servicio. La política que asocie a la función otorga a Amazon Bedrock acceso a los recursos de su cuenta y permite a Amazon Bedrock hacer lo siguiente:

  • Invoque los modelos que seleccione para la generación de resultados con la acción de la RetrieveAndGenerate API y evalúe los resultados de la base de conocimientos.

  • Invoque las bases de conocimiento Retrieve y las acciones de la RetrieveAndGenerate API de Amazon Bedrock en su instancia de base de conocimientos.

Para crear un rol de servicio personalizado, consulte Crear un rol que utilice políticas de confianza personalizadas en la Guía del usuario de IAM.

Acciones de IAM obligatorias para el acceso a Amazon S3

El siguiente ejemplo de política otorga acceso a los buckets de S3 cuando se producen las dos siguientes condiciones:

  • Guarda los resultados de la evaluación de la base de conocimientos.

  • Amazon Bedrock lee el conjunto de datos de entrada.

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowAccessToCustomDatasets",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_customdataset1_bucket",
                "arn:aws:s3:::my_customdataset1_bucket/myfolder",
                "arn:aws:s3:::my_customdataset2_bucket",
                "arn:aws:s3:::my_customdataset2_bucket/myfolder"
            ]
        },
        {
            "Sid": "AllowAccessToOutputBucket",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_output_bucket",
                "arn:aws:s3:::my_output_bucket/myfolder"
            ]
        }
    ]
}
Acciones de IAM de Amazon Bedrock obligatorias

También debe crear una política que permita a Amazon Bedrock hacer lo siguiente:

  1. Invoque los modelos que planea especificar para lo siguiente:

    • Generación de resultados con la acción de la RetrieveAndGenerate API.

    • Evaluación de los resultados.

    Para la Resource clave de la política, debe especificar al menos un ARN de un modelo al que tenga acceso. Para utilizar un modelo cifrado con una clave de KMS administrada por el cliente, debe añadir las acciones y los recursos de IAM necesarios a la política de funciones de servicio de IAM. También debes añadir el rol de servicio a la política clave. AWS KMS

  2. Llama a las acciones Retrieve y a la RetrieveAndGenerate API. Ten en cuenta que, en la creación automática de roles en la consola, concedemos permisos tanto Retrieve a las acciones de la RetrieveAndGenerate API como a las de la API, independientemente de la acción que decidas evaluar para ese trabajo. De este modo, ofrecemos flexibilidad y capacidad de reutilización adicionales para ese rol. Sin embargo, para mayor seguridad, ese rol creado automáticamente está vinculado a una única instancia de la base de conocimientos.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSpecificModels",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:CreateModelInvocationJob",
                "bedrock:StopModelInvocationJob",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:GetInferenceProfile",
                "bedrock:GetImportedModel"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*",
                "arn:aws:bedrock:region:account-id:inference-profile/*",
                "arn:aws:bedrock:region:account-id:provisioned-model/*",
                "arn:aws:bedrock:region:account-id:imported-model/*",
                "arn:aws:bedrock:region:account-id:application-inference-profile/*"
            ]
        },
        {
            "Sid": "AllowKnowledgeBaseAPis",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:knowledge-base/knowledge-base-id"
            ]
        }
    ]
}
Requisitos principales del servicio

También debe especificar una política de confianza que defina a Amazon Bedrock como la entidad principal de servicio. Esta política permite a Amazon Bedrock asumir la función. El ARN del trabajo de evaluación de modelos wildcard (*) es obligatorio para que Amazon Bedrock pueda crear trabajos de evaluación de modelos en su cuenta. AWS 

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowBedrockToAssumeRole",
            "Effect": "Allow",
            "Principal":
            {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition":
            {
                "StringEquals":
                {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals":
                {
                    "aws:SourceArn": "arn:aws:bedrock:region:account-id:evaluation-job/*"
                }
            }
        }
    ]
}