Exigences de fonction du service pour les tâches d’évaluation de modèle faisant appel à des évaluateurs humains - Amazon Bedrock

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exigences de fonction du service pour les tâches d’évaluation de modèle faisant appel à des évaluateurs humains

Pour créer une tâche d’évaluation de modèle faisant appel à des évaluateurs humains, vous devez spécifier deux fonctions du service.

Les listes suivantes résument les exigences de IAM politique pour chaque rôle de service requis qui doit être spécifié dans la console Amazon Bedrock.

Résumé des exigences IAM politiques relatives au rôle de service Amazon Bedrock

  • Vous devez attacher une politique de confiance qui définisse Amazon Bedrock en tant que principal du service.

  • Vous devez autoriser Amazon Bedrock à invoquer les modèles sélectionnés en votre nom.

  • Vous devez autoriser Amazon Bedrock à accéder au compartiment S3 qui contient votre jeu de données de requêtes et au compartiment S3 où doivent être enregistrés les résultats.

  • Vous devez autoriser Amazon Bedrock à créer les ressources de boucle humaine nécessaires dans votre compte.

  • (Recommandé) Utilisez un Condition bloc pour spécifier les comptes autorisés à y accéder.

  • (Facultatif) Vous devez autoriser Amazon Bedrock à déchiffrer votre KMS clé si vous avez chiffré le bucket de votre ensemble de données prompt ou le bucket Amazon S3 dans lequel vous souhaitez enregistrer les résultats.

Résumé des exigences de IAM politique relatives au rôle SageMaker de service Amazon

  • Vous devez joindre une politique de confiance qui définit SageMaker le principal du service.

  • Vous devez autoriser l'accès SageMaker au compartiment S3 qui contient votre ensemble de données d'invite et au compartiment S3 dans lequel vous souhaitez enregistrer les résultats.

  • (Facultatif) Vous SageMaker devez autoriser l'utilisation des clés gérées par le client si vous avez chiffré le bucket de jeu de données demandé ou l'emplacement où vous vouliez obtenir les résultats.

Pour créer un rôle de service personnalisé, voir Création d'un rôle utilisant une politique de confiance personnalisée dans le Guide de IAM l'utilisateur.

IAMActions Amazon S3 requises

L’exemple de politique suivant accorde un accès aux compartiments S3 où sont enregistrés les résultats de vos évaluations de modèle, ainsi qu’un accès au jeu de données de requêtes personnalisé que vous avez spécifié. Vous devez associer cette politique au rôle de SageMaker service et au rôle de service Amazon Bedrock.

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowAccessToCustomDatasets",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::custom-prompt-dataset"
        ]
    },
    {
        "Sid": "AllowAccessToOutputBucket",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetBucketLocation",
            "s3:AbortMultipartUpload",
            "s3:ListBucketMultipartUploads"
        ],
        "Resource": [
            "arn:aws:s3:::model_evaluation_job_output"
        ]
    }
]
}
Actions Amazon Bedrock IAM requises

Pour permettre à Amazon Bedrock d'invoquer le modèle que vous souhaitez spécifier dans la tâche d'évaluation automatique du modèle, associez la politique suivante au rôle de service Amazon Bedrock.

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowSpecificModels",
        "Effect": "Allow",
        "Action": [
            "bedrock:InvokeModel",
            "bedrock:InvokeModelWithResponseStream"
        ],
        "Resource": [
			"arn:aws:bedrock:Région AWS::foundation-model/model-id-of-foundational-model"
        ]
    }
]
}
IAMActions Amazon Augmented AI requises

Vous devez également créer une politique permettant à Amazon Bedrock de créer des ressources liées aux tâches d'évaluation de modèles basées sur l'humain. Comme Amazon Bedrock crée les ressources nécessaires au démarrage de la tâche d’évaluation de modèle, vous devez utiliser "Resource": "*". Vous devez attacher cette politique à la fonction du service Amazon Bedrock.

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "ManageHumanLoops",
        "Effect": "Allow",
        "Action": [
            "sagemaker:StartHumanLoop",
            "sagemaker:DescribeFlowDefinition",
            "sagemaker:DescribeHumanLoop",
            "sagemaker:StopHumanLoop",
            "sagemaker:DeleteHumanLoop"
        ],
        "Resource": "*"
    }
]
}
Exigences de principal du service (Amazon Bedrock)

Vous devez également spécifier une politique de confiance qui définisse Amazon Bedrock en tant que principal du service. Cela permet à Amazon Bedrock d’endosser le rôle.

{
"Version": "2012-10-17",
"Statement": [{
    "Sid": "AllowBedrockToAssumeRole",
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333"
        },
        "ArnEquals": {
            "aws:SourceArn": "arn:aws:bedrock:Région AWS:111122223333:evaluation-job/*"
        }
    }
}]
}
Principales exigences du service (SageMaker)

Vous devez également spécifier une politique de confiance qui définisse Amazon Bedrock en tant que principal du service. Cela permet SageMaker d'assumer le rôle.

{
"Version": "2012-10-17",
"Statement": [
{
  "Sid": "AllowSageMakerToAssumeRole",
  "Effect": "Allow",
  "Principal": {
    "Service": "sagemaker.amazonaws.com"
  },
  "Action": "sts:AssumeRole"
}
]
}