Amazon Bedrock 콘솔을 사용하여 모델 평가를 수행하는 데 필요한 권한

Amazon Bedrock 콘솔을 사용하여 모델 평가 작업을 만들 때는 Amazon S3 버킷에 올바른 CORS 권한을 지정해야 합니다. 자세한 내용은 S3 버킷에 대한 필수 Cross Origin Resource Sharing(CORS) 권한을 참조하십시오.

모델 평가 작업을 생성하는 데 필요한 IAM 권한은 자동 모델 평가 작업과 작업자를 사용하는 모델 평가 작업별로 다릅니다.

자동 모델 평가 작업 및 작업자 기반 모델 평가 작업 모두 Amazon S3와 Amazon Bedrock에 대한 액세스 권한이 필요합니다. 작업자 기반 모델 평가 작업을 생성하려면 Amazon Cognito 및 Amazon SageMaker에서 추가 권한이 필요합니다.

자동 모델 평가 작업 및 사용자 기반 모델 평가 작업을 생성하는 데 필요한 서비스 역할에 대해 자세히 알아보려면 모델 평가 작업의 서비스 역할 요구 사항 섹션을 참조하세요.

자동 모델 평가 작업을 생성하는 데 필요한 콘솔 권한

다음 정책에는 Amazon Bedrock 콘솔을 사용하여 자동 모델 평가 작업을 만드는 데 필요한 Amazon Bedrock 및 Amazon S3의 최소 IAM 작업 및 리소스 집합이 포함되어 있습니다.

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "BedrockConsole",
        "Effect": "Allow",
        "Action": [
			"bedrock:CreateEvaluationJob",
			"bedrock:GetEvaluationJob",
			"bedrock:ListEvaluationJobs",
			"bedrock:StopEvaluationJob",
			"bedrock:GetCustomModel",
			"bedrock:ListCustomModels",
			"bedrock:CreateProvisionedModelThroughput",
			"bedrock:UpdateProvisionedModelThroughput",
			"bedrock:GetProvisionedModelThroughput",
			"bedrock:ListProvisionedModelThroughputs",
			"bedrock:GetImportedModel",
			"bedrock:ListImportedModels",
			"bedrock:ListTagsForResource",
			"bedrock:UntagResource",
			"bedrock:TagResource"
        ],
        "Resource": "*"
    },
    {
        "Sid": "AllowConsoleS3AccessForModelEvaluation",
        "Effect": "Allow",
        "Action": [
          "s3:GetObject",
          "s3:GetBucketCORS",
          "s3:ListBucket",
          "s3:ListBucketVersions",
          "s3:GetBucketLocation"
        ],
        "Resource": "*"
    }
]
} 

인적 기반 모델 평가 작업을 만드는 데 필요한 콘솔 권한

Amazon Bedrock 콘솔에서 작업자를 사용하는 모델 평가 작업을 생성하려면 사용자, 그룹 또는 역할에 추가 권한을 추가해야 합니다.

다음 정책에는 작업자 기반 모델 평가 작업을 생성하는 데 필요한 Amazon Cognito 및 Amazon SageMaker의 최소 IAM 작업 및 리소스 집합이 포함되어 있습니다. 자동 모델 평가 작업에 대한 기본 정책 요구 사항에 이 정책을 추가해야 합니다.

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowCognitionActionsForWorkTeamCreations",
        "Effect": "Allow",
        "Action": [
           "cognito-idp:CreateUserPool",
           "cognito-idp:CreateUserPoolClient",
           "cognito-idp:CreateGroup",
           "cognito-idp:AdminCreateUser",
           "cognito-idp:AdminAddUserToGroup",
           "cognito-idp:CreateUserPoolDomain",
           "cognito-idp:UpdateUserPool",
           "cognito-idp:ListUsersInGroup",
           "cognito-idp:ListUsers",
           "cognito-idp:AdminRemoveUserFromGroup"
        ],
        "Resource": "*"
    },
    {
        "Sid": "AllowModelEvaluationResourceCreation",
        "Effect": "Allow",
        "Action": [
            "sagemaker:CreateFlowDefinition",
            "sagemaker:CreateWorkforce",
            "sagemaker:CreateWorkteam",
            "sagemaker:DescribeFlowDefinition",
            "sagemaker:DescribeHumanLoop",
            "sagemaker:ListFlowDefinitions",
            "sagemaker:ListHumanLoops",
            "sagemaker:DescribeWorkforce",
            "sagemaker:DescribeWorkteam",
            "sagemaker:ListWorkteams",
            "sagemaker:ListWorkforces",
            "sagemaker:DeleteFlowDefinition",
            "sagemaker:DeleteHumanLoop",
            "sagemaker:RenderUiTemplate",
            "sagemaker:StartHumanLoop",
            "sagemaker:StopHumanLoop"
        ],
        "Resource": "*"
    }
]
} 

S3 버킷에 대한 필수 Cross Origin Resource Sharing(CORS) 권한

Amazon Bedrock 콘솔을 사용하는 모델 평가 작업을 만들 때는 S3 버킷에 CORS 구성을 지정해야 합니다.

CORS 구성은 버킷에 대한 액세스를 허용할 오리진과 각 오리진에 대해 지원되는 작업(HTTP 메서드) 그리고 기타 작업별 정보를 각각 식별하는 규칙과 기타 작업별 정보를 포함하는 문서입니다. S3 콘솔을 사용하여 필수 CORS 구성을 설정하는 방법에 대해 자세히 알아보려면 Amazon S3 사용 설명서에 나와 있는 교차 오리진 리소스 공유(CORS) 구성을 참조하세요.

다음은 S3 버킷에 필요한 최소 CORS 구성입니다.

[{
    "AllowedHeaders": [
        "*"
    ],
    "AllowedMethods": [
        "GET",
        "PUT",
        "POST",
        "DELETE"
    ],
    "AllowedOrigins": [
        "*"
    ],
    "ExposeHeaders": ["Access-Control-Allow-Origin"]
}]