자동 모델 평가 작업의 서비스 역할 요구 사항 - Amazon Bedrock

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

자동 모델 평가 작업의 서비스 역할 요구 사항

자동 모델 평가 작업을 생성하려면 서비스 역할을 지정해야 합니다. 연결하는 정책은 Amazon Bedrock에 사용자 계정의 리소스에 대한 액세스 권한을 부여하고 Amazon Bedrock이 사용자를 대신하여 선택한 모델을 간접 호출하도록 허용합니다.

Amazon Bedrock을 bedrock.amazonaws.com을 사용하여 서비스 보안 주체로 정의하는 신뢰 정책도 연결해야 합니다. 다음 각 정책 예는 자동 모델 평가 작업에서 호출된 각 서비스에 따라 필요한 정확한 IAM 조치를 보여줍니다.

사용자 지정 서비스 역할을 만들려면 사용 설명서의 사용자 지정 신뢰 정책을 사용하는 역할 만들기를 IAM 참조하십시오.

필수 아마존 S3 IAM 작업

다음 정책 예제는 모델 평가 결과가 저장되는 S3 버킷에 대한 액세스 권한과 필요에 따라 사용자가 지정한 사용자 지정 프롬프트 데이터 세트에 대한 액세스 권한을 부여합니다.

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowAccessToCustomDatasets",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::my_customdataset1_bucket",
            "arn:aws:s3:::my_customdataset1_bucket/myfolder",
            "arn:aws:s3:::my_customdataset2_bucket",
            "arn:aws:s3:::my_customdataset2_bucket/myfolder"
        ]
    },
    {
        "Sid": "AllowAccessToOutputBucket",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetBucketLocation",
            "s3:AbortMultipartUpload",
            "s3:ListBucketMultipartUploads"
        ],
        "Resource": [
            "arn:aws:s3:::my_output_bucket",
            "arn:aws:s3:::my_output_bucket/myfolder"
        ]
    }
]
}
필수 아마존 베드락 조치 IAM

또한 Amazon Bedrock이 자동 모델 평가 작업에서 지정하려는 모델을 간접적으로 호출하도록 허용하는 정책을 생성해야 합니다. Amazon Bedrock에 대한 액세스 관리에 관한 자세한 내용은 Amazon 베드락 기반 모델에 대한 액세스 관리 섹션을 참조하세요.

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowSpecificModels",
        "Effect": "Allow",
        "Action": [
            "bedrock:InvokeModel",
            "bedrock:InvokeModelWithResponseStream",
			"bedrock:CreateModelInvocationJob",
			"bedrock:StopModelInvocationJob"

        ],
        "Resource": [
            "arn:aws:bedrock:region::foundation-model/model-id-of-foundational-model"
        ]
    }
]
}
서비스 보안 주체 요구 사항

Amazon Bedrock을 서비스 보안 주체로 정의하는 신뢰 정책도 지정해야 합니다. 이렇게 하면 Amazon Bedrock이 역할을 수임할 수 있습니다. Amazon ARN Bedrock이 사용자 계정에서 모델 평가 작업을 생성할 수 있으려면 와일드카드 (*) 모델 평가 작업이 필요합니다. AWS 

{
"Version": "2012-10-17",
"Statement": [{
    "Sid": "AllowBedrockToAssumeRole",
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333"
        },
        "ArnEquals": {
            "aws:SourceArn": "arn:aws:bedrock:AWS 리전:111122223333:evaluation-job/*"
        }
    }
}]
}