Requisitos do perfil de serviço para trabalhos automáticos de avaliação de modelo
Para criar um trabalho automático de avaliação de modelo, é necessário especificar um perfil de serviço. A política anexada concede ao Amazon Bedrock acesso aos recursos em sua conta e permite que o Amazon Bedrock invoque o modelo selecionado em seu nome.
Você também deve anexar uma política de confiança que defina o Amazon Bedrock como entidade principal de serviço usando bedrock.amazonaws.com. Cada um dos exemplos de política a seguir mostra as ações do IAM exatas que são necessárias com base em cada serviço invocado em um trabalho automático de avaliação de modelo.
Para criar um perfil de serviço personalizado, consulte Criar uma função usando políticas de confiança personalizadas no Guia do usuário do IAM.
Ações do IAM exigidas pelo Amazon S3
O exemplo de política a seguir concede acesso aos buckets do S3 em que os resultados da avaliação do modelo são salvos e (opcionalmente) acesso a todos os conjuntos de dados de prompts personalizados que você especificou.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToCustomDatasets", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::my_customdataset1_bucket", "arn:aws:s3:::my_customdataset1_bucket/myfolder", "arn:aws:s3:::my_customdataset2_bucket", "arn:aws:s3:::my_customdataset2_bucket/myfolder" ] }, { "Sid": "AllowAccessToOutputBucket", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket", "s3:PutObject", "s3:GetBucketLocation", "s3:AbortMultipartUpload", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::my_output_bucket", "arn:aws:s3:::my_output_bucket/myfolder" ] } ] }
Ações do IAM necessária para o Amazon Bedrock
Também é necessário criar uma política que permita que o Amazon Bedrock invoque o modelo que você planeja especificar no trabalho automático de avaliação de modelo. Para saber mais sobre como gerenciar o acesso aos modelos do Amazon Bedrock, consulte Acessar modelos de base do Amazon Bedrock. Na seção "Resource" da política, especifique também pelo menos um ARN de um modelo ao qual você tem acesso. Para usar um modelo criptografado com uma chave do KMS gerenciada pelo cliente, adicione as ações e os recursos necessários do IAM à política de perfil de serviço do IAM. Adicione também o perfil de serviço à política de chave do AWS KMS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSpecificModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream", "bedrock:CreateModelInvocationJob", "bedrock:StopModelInvocationJob", "bedrock:GetProvisionedModelThroughput", "bedrock:GetInferenceProfile", "bedrock:ListInferenceProfiles", "bedrock:GetImportedModel" ], "Resource": [ "arn:aws:bedrock:region::foundation-model/*", "arn:aws:bedrock:region:111122223333:inference-profile/*", "arn:aws:bedrock:region:111122223333:provisioned-model/*", "arn:aws:bedrock:region:111122223333:imported-model/*" ] } ] }
Requisitos da entidade principal de serviço
Especifique também uma política de confiança que defina o Amazon Bedrock como a entidade principal de serviço. Isso permite que o Amazon Bedrock assuma o perfil. O ARN do trabalho de avaliação do modelo curinga (*) é necessário para que o Amazon Bedrock possa criar trabalhos de avaliação de modelo em sua conta da AWS.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowBedrockToAssumeRole", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:Região da AWS:111122223333:evaluation-job/*" } } }] }
