Persyaratan peran layanan untuk pekerjaan evaluasi model otomatis - Amazon Bedrock

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Persyaratan peran layanan untuk pekerjaan evaluasi model otomatis

Untuk membuat pekerjaan evaluasi model otomatis, Anda harus menentukan peran layanan. Kebijakan yang Anda lampirkan memberikan Amazon Bedrock akses ke sumber daya di akun Anda, dan memungkinkan Amazon Bedrock untuk memanggil model yang dipilih atas nama Anda.

Anda juga harus melampirkan kebijakan kepercayaan yang mendefinisikan Amazon Bedrock sebagai prinsipal layanan yang digunakan. bedrock.amazonaws.com Masing-masing contoh kebijakan berikut menunjukkan kepada Anda tindakan IAM yang tepat yang diperlukan berdasarkan setiap layanan yang dipanggil dalam pekerjaan evaluasi model otomatis.

Untuk membuat peran layanan kustom, lihat Membuat peran yang menggunakan kebijakan kepercayaan khusus di Panduan Pengguna IAM.

Tindakan IAM Amazon S3 yang diperlukan

Contoh kebijakan berikut memberikan akses ke bucket S3 tempat hasil evaluasi model Anda disimpan, dan (opsional) akses ke kumpulan data prompt kustom yang telah Anda tentukan.

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowAccessToCustomDatasets",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::my_customdataset1_bucket",
            "arn:aws:s3:::my_customdataset1_bucket/myfolder",
            "arn:aws:s3:::my_customdataset2_bucket",
            "arn:aws:s3:::my_customdataset2_bucket/myfolder"
        ]
    },
    {
        "Sid": "AllowAccessToOutputBucket",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetBucketLocation",
            "s3:AbortMultipartUpload",
            "s3:ListBucketMultipartUploads"
        ],
        "Resource": [
            "arn:aws:s3:::my_output_bucket",
            "arn:aws:s3:::my_output_bucket/myfolder"
        ]
    }
]
}
Tindakan IAM Amazon Bedrock yang diperlukan

Anda juga perlu membuat kebijakan yang memungkinkan Amazon Bedrock untuk memanggil model yang Anda rencanakan untuk ditentukan dalam pekerjaan evaluasi model otomatis. Untuk mempelajari lebih lanjut tentang mengelola akses ke model Amazon Bedrock, lihatAkses model fondasi Amazon Bedrock. Di "Resource" bagian kebijakan, Anda harus menentukan setidaknya satu ARN dari model yang Anda akses juga. Untuk menggunakan model yang dienkripsi dengan kunci KMS kunci terkelola pelanggan, Anda harus menambahkan tindakan dan sumber daya IAM yang diperlukan ke kebijakan peran layanan IAM. Anda juga harus menambahkan peran layanan ke kebijakan AWS KMS kunci.

{
		    "Version": "2012-10-17",
            "Statement": [
        {
            "Sid": "AllowAccessToBedrockResources",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:CreateModelInvocationJob",
                "bedrock:StopModelInvocationJob",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:GetInferenceProfile", 
                "bedrock:ListInferenceProfiles",
                "bedrock:GetImportedModel",
                "bedrock:GetPromptRouter",
                "sagemaker:InvokeEndpoint"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/*",
                "arn:aws:bedrock:*:111122223333:inference-profile/*",
                "arn:aws:bedrock:*:111122223333:provisioned-model/*",
                "arn:aws:bedrock:*:111122223333:imported-model/*",
                "arn:aws:bedrock:*:111122223333:application-inference-profile/*",
                "arn:aws:bedrock:*:111122223333:default-prompt-router/*",
                "arn:aws:sagemaker:*:111122223333:endpoint/*",
                "arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
            ]
        }
    ]
}
Persyaratan utama layanan

Anda juga harus menentukan kebijakan kepercayaan yang mendefinisikan Amazon Bedrock sebagai prinsipal layanan. Hal ini memungkinkan Amazon Bedrock untuk mengambil peran. Pekerjaan evaluasi model wildcard (*) ARN diperlukan agar Amazon Bedrock dapat membuat pekerjaan evaluasi model di akun Anda. AWS 

{
"Version": "2012-10-17",
"Statement": [{
    "Sid": "AllowBedrockToAssumeRole",
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333"
        },
        "ArnEquals": {
            "aws:SourceArn": "arn:aws:bedrock:Wilayah AWS:111122223333:evaluation-job/*"
        }
    }
}]
}