Exigences de fonction du service pour les tâches d’évaluation de modèle automatique - Amazon Bedrock

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exigences de fonction du service pour les tâches d’évaluation de modèle automatique

Pour créer une tâche d’évaluation de modèle automatique, vous devez spécifier une fonction du service. La politique que vous attachez accorde à Amazon Bedrock un accès aux ressources de votre compte et permet à Amazon Bedrock d’invoquer le modèle sélectionné en votre nom.

Vous devez également attacher une politique de confiance qui définisse Amazon Bedrock en tant que principal du service à l’aide de bedrock.amazonaws.com. Chacun des exemples de politique suivants montre les actions IAM exactes qui sont nécessaires en fonction du service invoqué dans le cadre d’une tâche d’évaluation de modèle automatique.

Pour créer une fonction du service personnalisée, consultez Création d’un rôle à l’aide de politiques d’approbation personnalisées dans le Guide de l’utilisateur IAM.

Actions IAM Amazon S3 nécessaires

L’exemple de politique suivant accorde un accès aux compartiments S3 où sont enregistrés les résultats de vos évaluations de modèle, ainsi qu’un accès (facultatif) aux jeux de données de requêtes personnalisés que vous avez spécifiés.

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowAccessToCustomDatasets",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::my_customdataset1_bucket",
            "arn:aws:s3:::my_customdataset1_bucket/myfolder",
            "arn:aws:s3:::my_customdataset2_bucket",
            "arn:aws:s3:::my_customdataset2_bucket/myfolder"
        ]
    },
    {
        "Sid": "AllowAccessToOutputBucket",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetBucketLocation",
            "s3:AbortMultipartUpload",
            "s3:ListBucketMultipartUploads"
        ],
        "Resource": [
            "arn:aws:s3:::my_output_bucket",
            "arn:aws:s3:::my_output_bucket/myfolder"
        ]
    }
]
}
Actions IAM Amazon Bedrock nécessaires

Vous devez également créer une politique qui permette à Amazon Bedrock d’invoquer le modèle que vous prévoyez de spécifier dans la tâche d’évaluation de modèle automatique. Pour en savoir plus sur la gestion de l’accès aux modèles Amazon Bedrock, consultez Accédez aux modèles de fondations Amazon Bedrock. Dans la "Resource" section de la politique, vous devez spécifier au moins un ARN d'un modèle auquel vous avez également accès. Pour utiliser un modèle chiffré avec une clé KMS gérée par le client, vous devez ajouter les actions et ressources IAM requises à la politique de rôle du service IAM. Vous devez également ajouter le rôle de service à la politique AWS KMS clé.

{
		    "Version": "2012-10-17",
            "Statement": [
        {
            "Sid": "AllowAccessToBedrockResources",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:CreateModelInvocationJob",
                "bedrock:StopModelInvocationJob",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:GetInferenceProfile", 
                "bedrock:ListInferenceProfiles",
                "bedrock:GetImportedModel",
                "bedrock:GetPromptRouter",
                "sagemaker:InvokeEndpoint"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/*",
                "arn:aws:bedrock:*:111122223333:inference-profile/*",
                "arn:aws:bedrock:*:111122223333:provisioned-model/*",
                "arn:aws:bedrock:*:111122223333:imported-model/*",
                "arn:aws:bedrock:*:111122223333:application-inference-profile/*",
                "arn:aws:bedrock:*:111122223333:default-prompt-router/*",
                "arn:aws:sagemaker:*:111122223333:endpoint/*",
                "arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
            ]
        }
    ]
}
Exigences de principal du service

Vous devez également spécifier une politique de confiance qui définisse Amazon Bedrock en tant que principal du service. Cela permet à Amazon Bedrock d’endosser le rôle. L'ARN des tâches d'évaluation de modèles wildcard (*) est requis pour qu'Amazon Bedrock puisse créer des tâches d'évaluation de modèles dans votre AWS compte.

{
"Version": "2012-10-17",
"Statement": [{
    "Sid": "AllowBedrockToAssumeRole",
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333"
        },
        "ArnEquals": {
            "aws:SourceArn": "arn:aws:bedrock:Région AWS:111122223333:evaluation-job/*"
        }
    }
}]
}