As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Requisitos do perfil de serviço para trabalhos de avaliação de modelo baseados em humanos
Para criar um trabalho de avaliação de modelo com a participação de avaliadores humanos, é necessário especificar dois perfis de serviço.
As listas a seguir resumem os requisitos IAM de política para cada função de serviço necessária que deve ser especificada no console do Amazon Bedrock.
Resumo dos requisitos de IAM política para a função de serviço Amazon Bedrock
-
Você deve anexar uma política de confiança que defina o Amazon Bedrock como entidade principal de serviço.
-
Você deve permitir que o Amazon Bedrock invoque os modelos selecionados em seu nome.
-
Você deve permitir que o Amazon Bedrock acesse o bucket do S3 que contém o conjunto de dados de prompts e o bucket do S3 onde você deseja que os resultados sejam salvos.
-
Permita que o Amazon Bedrock crie os recursos do grupo humano necessários em sua conta.
-
(Recomendado) Use um bloco de
Conditionpara especificar as contas que podem ser acessadas. -
(Opcional) Você deve permitir que o Amazon Bedrock decifre sua KMS chave se tiver criptografado seu bucket de conjunto de dados prompt ou o bucket do Amazon S3 em que deseja que os resultados sejam salvos.
Resumo dos requisitos de IAM política para a função de serviço Amazon SageMaker AI
-
Você deve anexar uma política de confiança que defina a SageMaker IA como principal do serviço.
-
Você deve permitir que a SageMaker IA acesse o bucket do S3 que contém seu conjunto de dados de prompt e o bucket do S3 onde você deseja que os resultados sejam salvos.
-
(Opcional) Você deve permitir que a SageMaker IA use suas chaves gerenciadas pelo cliente se tiver criptografado seu bucket de conjunto de dados imediato ou o local em que deseja obter os resultados.
Para criar uma função de serviço personalizada, consulte Criação de uma função que usa uma política de confiança personalizada no Guia IAM do usuário.
Ações necessárias do Amazon S3 IAM
O exemplo de política a seguir concede acesso aos buckets do S3 em que os resultados da avaliação de modelo são salvos e acesso ao conjunto de dados de prompts personalizado que você especificou. Você precisa vincular essa política à função de serviço de SageMaker IA e à função de serviço Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToCustomDatasets", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::custom-prompt-dataset" ] }, { "Sid": "AllowAccessToOutputBucket", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket", "s3:PutObject", "s3:GetBucketLocation", "s3:AbortMultipartUpload", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::model_evaluation_job_output" ] } ] }
Ações necessárias do Amazon Bedrock IAM
Para permitir que o Amazon Bedrock invoque o modelo que você planeja especificar no trabalho de avaliação de modelo automática, anexe a política a seguir ao perfil de serviço do Amazon Bedrock. Na "Resource" seção da política, você também deve especificar pelo menos um ARN modelo ao qual você tenha acesso. Para usar um modelo criptografado com a KMS chave gerenciada pelo cliente, você deve adicionar as IAM ações e os recursos necessários à função IAM de serviço. Você também deve adicionar quaisquer AWS KMS elementos-chave de política necessários.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToBedrockResources", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream", "bedrock:CreateModelInvocationJob", "bedrock:StopModelInvocationJob", "bedrock:GetProvisionedModelThroughput", "bedrock:GetInferenceProfile", "bedrock:ListInferenceProfiles", "bedrock:GetImportedModel", "bedrock:GetPromptRouter", "sagemaker:InvokeEndpoint" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*", "arn:aws:bedrock:*:111122223333:inference-profile/*", "arn:aws:bedrock:*:111122223333:provisioned-model/*", "arn:aws:bedrock:*:111122223333:imported-model/*", "arn:aws:bedrock:*:111122223333:application-inference-profile/*", "arn:aws:bedrock:*:111122223333:default-prompt-router/*", "arn:aws:sagemaker:*:111122223333:endpoint/*", "arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access" ] } ] }
Ações necessárias do Amazon Augmented AI IAM
Também é necessário criar uma política que permita que o Amazon Bedrock crie recursos relacionados aos trabalhos de avaliação de modelo baseados em humanos. Como o Amazon Bedrock cria os recursos necessários para iniciar o trabalho de avaliação de modelo, você deve usar "Resource":
"*". Anexe essa política ao perfil de serviço do Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageHumanLoops", "Effect": "Allow", "Action": [ "sagemaker:StartHumanLoop", "sagemaker:DescribeFlowDefinition", "sagemaker:DescribeHumanLoop", "sagemaker:StopHumanLoop", "sagemaker:DeleteHumanLoop" ], "Resource": "*" } ] }
Requisitos para entidade principal do serviço (Amazon Bedrock)
Você também deve especificar uma política de confiança que defina o Amazon Bedrock como entidade principal de serviço. Isso permite que o Amazon Bedrock assuma o perfil.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowBedrockToAssumeRole", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:Região da AWS:111122223333:evaluation-job/*" } } }] }
Requisitos principais do serviço (SageMaker IA)
Especifique também uma política de confiança que defina o Amazon Bedrock como a entidade principal de serviço. Isso permite que a SageMaker IA assuma o papel.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSageMakerToAssumeRole", "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
