Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Exigences relatives aux rôles de service pour les tâches d'évaluation de la base de connaissances

RSS
Mode de mise au point
Exigences relatives aux rôles de service pour les tâches d'évaluation de la base de connaissances - Amazon Bedrock

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour créer une tâche d'évaluation de la base de connaissances, vous devez spécifier un rôle de service. La politique que vous associez au rôle accorde à Amazon Bedrock l'accès aux ressources de votre compte et autorise Amazon Bedrock à effectuer les opérations suivantes :

  • Appelez les modèles que vous sélectionnez pour générer des résultats à l'aide de l'action RetrieveAndGenerate API et évaluez les résultats de la base de connaissances.

  • Appelez les bases de connaissances Amazon Bedrock Retrieve et les actions RetrieveAndGenerate d'API sur votre instance de base de connaissances.

Pour créer un rôle de service personnalisé, consultez la section Création d'un rôle utilisant des politiques de confiance personnalisées dans le Guide de l'utilisateur IAM.

Actions IAM requises pour l'accès à Amazon S3

L'exemple de politique suivant accorde l'accès aux compartiments S3 dans lesquels les deux conditions suivantes se produisent :

  • Vous enregistrez les résultats de l'évaluation de votre base de connaissances.

  • Amazon Bedrock lit votre jeu de données d'entrée.

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowAccessToCustomDatasets",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_customdataset1_bucket",
                "arn:aws:s3:::my_customdataset1_bucket/myfolder",
                "arn:aws:s3:::my_customdataset2_bucket",
                "arn:aws:s3:::my_customdataset2_bucket/myfolder"
            ]
        },
        {
            "Sid": "AllowAccessToOutputBucket",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_output_bucket",
                "arn:aws:s3:::my_output_bucket/myfolder"
            ]
        }
    ]
}
Actions IAM Amazon Bedrock nécessaires

Vous devez également créer une politique qui autorise Amazon Bedrock à effectuer les opérations suivantes :

  1. Invoquez les modèles que vous souhaitez spécifier pour les éléments suivants :

    • Génération de résultats à l'aide de RetrieveAndGenerate l'action API.

    • Evaluation des résultats

    Pour la Resource clé de la politique, vous devez spécifier au moins un ARN d'un modèle auquel vous avez accès. Pour utiliser un modèle chiffré à l'aide d'une clé KMS gérée par le client, vous devez ajouter les actions et ressources IAM requises à la politique de rôle du service IAM. Vous devez également ajouter le rôle de service à la politique AWS KMS clé.

  2. Appelez les actions Retrieve et RetrieveAndGenerate API. Notez que, lors de la création automatique des rôles dans la console, nous accordons des autorisations à la fois aux actions Retrieve et aux actions d'RetrieveAndGenerateAPI, quelle que soit l'action que vous choisissez d'évaluer pour cette tâche. Ce faisant, nous donnons plus de flexibilité et de réutilisabilité à ce rôle. Toutefois, pour plus de sécurité, ce rôle créé automatiquement est lié à une seule instance de base de connaissances.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSpecificModels",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:CreateModelInvocationJob",
                "bedrock:StopModelInvocationJob",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:GetInferenceProfile",
                "bedrock:GetImportedModel"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*",
                "arn:aws:bedrock:region:account-id:inference-profile/*",
                "arn:aws:bedrock:region:account-id:provisioned-model/*",
                "arn:aws:bedrock:region:account-id:imported-model/*",
                "arn:aws:bedrock:region:account-id:application-inference-profile/*"
            ]
        },
        {
            "Sid": "AllowKnowledgeBaseAPis",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:knowledge-base/knowledge-base-id"
            ]
        }
    ]
}
Principales exigences en matière de service

Vous devez également spécifier une politique de confiance qui définisse Amazon Bedrock en tant que principal du service. Cette politique permet à Amazon Bedrock d'assumer ce rôle. L'ARN des tâches d'évaluation de modèles wildcard (*) est requis pour qu'Amazon Bedrock puisse créer des tâches d'évaluation de modèles dans votre AWS compte.

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowBedrockToAssumeRole",
            "Effect": "Allow",
            "Principal":
            {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition":
            {
                "StringEquals":
                {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals":
                {
                    "aws:SourceArn": "arn:aws:bedrock:region:account-id:evaluation-job/*"
                }
            }
        }
    ]
}

Related resources

Amazon Bedrock Référence d'API
AWS CLI commandes pour Amazon Bedrock
SDKs et outils 

Related resources

Amazon Bedrock Référence d'API
AWS CLI commandes pour Amazon Bedrock
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.