Requisitos de função de serviço para trabalhos de avaliação da base de conhecimento - Amazon Bedrock

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Requisitos de função de serviço para trabalhos de avaliação da base de conhecimento

Para criar um trabalho de avaliação da base de conhecimento, você deve especificar uma função de serviço. A política que você anexa à função concede ao Amazon Bedrock acesso aos recursos em sua conta e permite que o Amazon Bedrock faça o seguinte:

  • Invoque os modelos que você seleciona para geração de saída com a ação da RetrieveAndGenerate API e avalie as saídas da base de conhecimento.

  • Invoque as bases de conhecimento do Amazon Bedrock Retrieve e as ações de RetrieveAndGenerate API em sua instância de base de conhecimento.

Para criar uma função de serviço personalizada, consulte Como criar uma função que usa políticas de confiança personalizadas no Guia do usuário do IAM.

Ações do IAM necessárias para acesso ao Amazon S3

O exemplo de política a seguir concede acesso aos buckets do S3 em que as duas situações a seguir ocorrem:

  • Você salva os resultados da avaliação da sua base de conhecimento.

  • O Amazon Bedrock lê seu conjunto de dados de entrada.

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowAccessToCustomDatasets",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_customdataset1_bucket",
                "arn:aws:s3:::my_customdataset1_bucket/myfolder",
                "arn:aws:s3:::my_customdataset2_bucket",
                "arn:aws:s3:::my_customdataset2_bucket/myfolder"
            ]
        },
        {
            "Sid": "AllowAccessToOutputBucket",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_output_bucket",
                "arn:aws:s3:::my_output_bucket/myfolder"
            ]
        }
    ]
}
Ações do IAM necessária para o Amazon Bedrock

Você também precisa criar uma política que permita que o Amazon Bedrock faça o seguinte:

  1. Invoque os modelos que você planeja especificar para o seguinte:

    • Geração de resultados com a ação RetrieveAndGenerate da API.

    • Avaliação dos resultados.

    Para a Resource chave na política, você deve especificar pelo menos um ARN de um modelo ao qual você tem acesso. Para usar um modelo criptografado com uma chave KMS gerenciada pelo cliente, você deve adicionar as ações e os recursos necessários do IAM à política de função de serviço do IAM. Você também deve adicionar a função de serviço à política de AWS KMS chaves.

  2. Chame as ações Retrieve e a RetrieveAndGenerate API. Observe que, na criação automática de funções no console, concedemos permissões tanto para as ações da RetrieveAndGenerate API Retrieve quanto para as ações da API, independentemente da ação que você escolher avaliar para esse trabalho. Ao fazer isso, oferecemos flexibilidade e reutilização adicionais para essa função. No entanto, para maior segurança, essa função criada automaticamente está vinculada a uma única instância da base de conhecimento.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSpecificModels",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:CreateModelInvocationJob",
                "bedrock:StopModelInvocationJob",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:GetInferenceProfile",
                "bedrock:GetImportedModel"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*",
                "arn:aws:bedrock:region:account-id:inference-profile/*",
                "arn:aws:bedrock:region:account-id:provisioned-model/*",
                "arn:aws:bedrock:region:account-id:imported-model/*",
                "arn:aws:bedrock:region:account-id:application-inference-profile/*"
            ]
        },
        {
            "Sid": "AllowKnowledgeBaseAPis",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:knowledge-base/knowledge-base-id"
            ]
        }
    ]
}
Requisitos principais do serviço

Especifique também uma política de confiança que defina o Amazon Bedrock como a entidade principal de serviço. Essa política permite que o Amazon Bedrock assuma a função. O ARN do trabalho de avaliação de modelo curinga (*) é necessário para que o Amazon Bedrock possa criar trabalhos de avaliação de modelo em sua conta. AWS 

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowBedrockToAssumeRole",
            "Effect": "Allow",
            "Principal":
            {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition":
            {
                "StringEquals":
                {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals":
                {
                    "aws:SourceArn": "arn:aws:bedrock:region:account-id:evaluation-job/*"
                }
            }
        }
    ]
}