自动模型评估作业的服务角色要求 - Amazon Bedrock

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

自动模型评估作业的服务角色要求

要创建自动模型评估作业,必须指定服务角色。您附加的策略将授予 Amazon Bedrock 访问您账户中资源的权限,并允许 Amazon Bedrock 代表您调用所选模型。

还必须附加一项信任策略,将 Amazon Bedrock 定义为使用 bedrock.amazonaws.com 的服务主体。以下每个策略示例都根据自动模型评估任务中调用的每项服务向您展示了所需的确切IAM操作。

要创建自定义服务角色,请参阅IAM用户指南中的创建使用自定义信任策略的角色

亚马逊 S3 必需的IAM操作

以下策略示例将授予对 S3 存储桶(用于保存模型评估结果)的访问权限,以及对您指定的任何自定义提示数据集的访问权限(可选)。

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowAccessToCustomDatasets",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::my_customdataset1_bucket",
            "arn:aws:s3:::my_customdataset1_bucket/myfolder",
            "arn:aws:s3:::my_customdataset2_bucket",
            "arn:aws:s3:::my_customdataset2_bucket/myfolder"
        ]
    },
    {
        "Sid": "AllowAccessToOutputBucket",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetBucketLocation",
            "s3:AbortMultipartUpload",
            "s3:ListBucketMultipartUploads"
        ],
        "Resource": [
            "arn:aws:s3:::my_output_bucket",
            "arn:aws:s3:::my_output_bucket/myfolder"
        ]
    }
]
}
必需的 Amazon Bedrock 操作 IAM

您还需创建一个策略,允许 Amazon Bedrock 调用您计划在自动模型评估作业中指定的模型。要了解有关管理 Amazon Bedrock 模型访问权限的更多信息,请参阅访问 Amazon Bedrock 基础模型

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowSpecificModels",
        "Effect": "Allow",
        "Action": [
            "bedrock:InvokeModel",
            "bedrock:InvokeModelWithResponseStream",
            "bedrock:CreateModelInvocationJob",
            "bedrock:StopModelInvocationJob",
            "bedrock:GetProvisionedModelThroughput",
            "bedrock:GetInferenceProfile",
            "bedrock:ListInferenceProfiles"

        ],
        "Resource": [
            "arn:aws:bedrock:region::foundation-model/*",
            "arn:aws:bedrock:region:111122223333:inference-profile/*",
            "arn:aws:bedrock:region:111122223333:provisioned-model/*"
        ]
    }
]
}
服务主体要求

还必须指定将 Amazon Bedrock 定义为服务主体的信任策略,以允许 Amazon Bedrock 担任该角色。需要使用通配符 (*) 模型评估任务ARN,这样 Amazon Bedrock 才能在您的 AWS 账户中创建模型评估任务。

{
"Version": "2012-10-17",
"Statement": [{
    "Sid": "AllowBedrockToAssumeRole",
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333"
        },
        "ArnEquals": {
            "aws:SourceArn": "arn:aws:bedrock:AWS 区域:111122223333:evaluation-job/*"
        }
    }
}]
}