翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ナレッジベース評価ジョブのサービスロール要件
ナレッジベース評価ジョブを作成するには、サービスロールを指定する必要があります。ロールにアタッチするポリシーは、Amazon Bedrock にアカウント内のリソースへのアクセスを許可し、Amazon Bedrock に次のことを許可します。
-
RetrieveAndGenerateAPI アクションを使用して出力生成用に選択したモデルを呼び出し、ナレッジベースの出力を評価します。 -
ナレッジベースインスタンスで Amazon Bedrock ナレッジベース
RetrieveとRetrieveAndGenerateAPI アクションを呼び出します。
カスタムサービスロールを作成するには、「IAM ユーザーガイド」の「カスタム信頼ポリシーを使用するロールの作成」を参照してください。
Amazon S3 アクセスに必要な IAM アクション
次のポリシー例では、次の両方が発生する S3 バケットへのアクセスを許可します。
-
ナレッジベースの評価結果を保存します。
-
Amazon Bedrock は入力データセットを読み取ります。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToCustomDatasets", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::my_customdataset1_bucket", "arn:aws:s3:::my_customdataset1_bucket/myfolder", "arn:aws:s3:::my_customdataset2_bucket", "arn:aws:s3:::my_customdataset2_bucket/myfolder" ] }, { "Sid": "AllowAccessToOutputBucket", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket", "s3:PutObject", "s3:GetBucketLocation", "s3:AbortMultipartUpload", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::my_output_bucket", "arn:aws:s3:::my_output_bucket/myfolder" ] } ] }
必要な Amazon Bedrock の IAM アクション
また、Amazon Bedrock が以下を実行できるようにするポリシーを作成する必要があります。
-
以下に対して指定する予定のモデルを呼び出します。
-
RetrieveAndGenerateAPI アクションによる結果の生成。 -
結果の評価。
ポリシーの
Resourceキーには、アクセスできるモデルの ARN を少なくとも 1 つ指定する必要があります。カスタマーマネージド KMS キーで暗号化されたモデルを使用するには、必要な IAM アクションとリソースを IAM サービスロールポリシーに追加する必要があります。また、サービスロールを AWS KMS キーポリシーに追加する必要があります。 -
-
RetrieveおよびRetrieveAndGenerateAPI アクションを呼び出します。コンソールでの自動ロール作成では、そのジョブに対して評価するアクションに関係なく、RetrieveとRetrieveAndGenerateAPI アクションの両方にアクセス許可が付与されます。これにより、そのロールの柔軟性と再利用性が向上します。ただし、セキュリティを強化するために、自動的に作成されたロールは 1 つのナレッジベースインスタンスに関連付けられます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSpecificModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream", "bedrock:CreateModelInvocationJob", "bedrock:StopModelInvocationJob", "bedrock:GetProvisionedModelThroughput", "bedrock:GetInferenceProfile", "bedrock:GetImportedModel" ], "Resource": [ "arn:aws:bedrock:region::foundation-model/*", "arn:aws:bedrock:region:account-id:inference-profile/*", "arn:aws:bedrock:region:account-id:provisioned-model/*", "arn:aws:bedrock:region:account-id:imported-model/*", "arn:aws:bedrock:region:account-id:application-inference-profile/*" ] }, { "Sid": "AllowKnowledgeBaseAPis", "Effect": "Allow", "Action": [ "bedrock:Retrieve", "bedrock:RetrieveAndGenerate" ], "Resource": [ "arn:aws:bedrock:region:account-id:knowledge-base/knowledge-base-id" ] } ] }
サービスプリンシパルの要件
また、Amazon Bedrock をサービスプリンシパルとして定義する信頼ポリシー指定する必要があります。このポリシーは、Amazon Bedrock がロールを引き受けることを許可します。Amazon Bedrock が AWS アカウントにモデル評価ジョブを作成できるようにするには、ワイルドカード (*) モデル評価ジョブ ARN が必要です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowBedrockToAssumeRole", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:region:account-id:evaluation-job/*" } } } ] }
