Persyaratan peran layanan untuk pekerjaan evaluasi basis pengetahuan - Amazon Bedrock

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Persyaratan peran layanan untuk pekerjaan evaluasi basis pengetahuan

Untuk membuat pekerjaan evaluasi basis pengetahuan, Anda harus menentukan peran layanan. Kebijakan yang Anda lampirkan ke peran memberikan Amazon Bedrock akses ke sumber daya di akun Anda, dan memungkinkan Amazon Bedrock untuk melakukan hal berikut:

  • Panggil model yang Anda pilih untuk pembuatan keluaran dengan aksi RetrieveAndGenerate API, dan evaluasi output basis pengetahuan.

  • Memanggil Basis Pengetahuan Amazon Bedrock Retrieve dan tindakan RetrieveAndGenerate API pada instance basis pengetahuan Anda.

Untuk membuat peran layanan kustom, lihat Membuat peran yang menggunakan kebijakan kepercayaan khusus di Panduan Pengguna IAM.

Tindakan IAM yang diperlukan untuk akses Amazon S3

Contoh kebijakan berikut memberikan akses ke bucket S3 di mana kedua hal berikut terjadi:

  • Anda menyimpan hasil evaluasi basis pengetahuan Anda.

  • Amazon Bedrock membaca kumpulan data masukan Anda.

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowAccessToCustomDatasets",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_customdataset1_bucket",
                "arn:aws:s3:::my_customdataset1_bucket/myfolder",
                "arn:aws:s3:::my_customdataset2_bucket",
                "arn:aws:s3:::my_customdataset2_bucket/myfolder"
            ]
        },
        {
            "Sid": "AllowAccessToOutputBucket",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_output_bucket",
                "arn:aws:s3:::my_output_bucket/myfolder"
            ]
        }
    ]
}
Tindakan IAM Amazon Bedrock yang diperlukan

Anda juga perlu membuat kebijakan yang memungkinkan Amazon Bedrock melakukan hal berikut:

  1. Panggil model yang Anda rencanakan untuk ditentukan sebagai berikut:

    • Pembuatan hasil dengan aksi RetrieveAndGenerate API.

    • Evaluasi hasil.

    Untuk Resource kunci dalam kebijakan, Anda harus menentukan setidaknya satu ARN dari model yang dapat Anda akses. Untuk menggunakan model yang dienkripsi dengan kunci KMS yang dikelola pelanggan, Anda harus menambahkan tindakan dan sumber daya IAM yang diperlukan ke kebijakan peran layanan IAM. Anda juga harus menambahkan peran layanan ke kebijakan AWS KMS kunci.

  2. Panggil tindakan Retrieve dan RetrieveAndGenerate API. Perhatikan bahwa, dalam pembuatan peran otomatis di konsol, kami memberikan izin untuk tindakan keduanya Retrieve dan RetrieveAndGenerate API, terlepas dari tindakan yang Anda pilih untuk dievaluasi untuk pekerjaan itu. Dengan demikian, kami memberikan fleksibilitas dan penggunaan kembali tambahan untuk peran itu. Namun, untuk keamanan tambahan, peran yang dibuat secara otomatis itu terkait dengan satu instance basis pengetahuan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSpecificModels",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:CreateModelInvocationJob",
                "bedrock:StopModelInvocationJob",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:GetInferenceProfile",
                "bedrock:GetImportedModel"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*",
                "arn:aws:bedrock:region:account-id:inference-profile/*",
                "arn:aws:bedrock:region:account-id:provisioned-model/*",
                "arn:aws:bedrock:region:account-id:imported-model/*",
                "arn:aws:bedrock:region:account-id:application-inference-profile/*"
            ]
        },
        {
            "Sid": "AllowKnowledgeBaseAPis",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:knowledge-base/knowledge-base-id"
            ]
        }
    ]
}
Persyaratan Utama Layanan

Anda juga harus menentukan kebijakan kepercayaan yang mendefinisikan Amazon Bedrock sebagai prinsipal layanan. Kebijakan ini memungkinkan Amazon Bedrock untuk mengambil peran tersebut. Pekerjaan evaluasi model wildcard (*) ARN diperlukan agar Amazon Bedrock dapat membuat pekerjaan evaluasi model di akun Anda. AWS 

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowBedrockToAssumeRole",
            "Effect": "Allow",
            "Principal":
            {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition":
            {
                "StringEquals":
                {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals":
                {
                    "aws:SourceArn": "arn:aws:bedrock:region:account-id:evaluation-job/*"
                }
            }
        }
    ]
}