使用 Amazon Bedrock 控制台创建模型评测所需的权限 - Amazon Bedrock
创建自动模型评测作业所需的控制台权限创建基于人工的模型评测作业所需的控制台权限CORS 权限要求

使用 Amazon Bedrock 控制台创建模型评测所需的权限

使用 Amazon Bedrock 控制台来创建模型评测作业时,您必须在 Amazon S3 存储桶中指定正确的 CORS 权限。要了解更多信息,请参阅 对 S3 存储桶的必要跨源资源共享 (CORS) 权限

对于自动模型评估作业和使用人工的模型评估作业来说,创建模型评估作业所需的 IAM 权限是不同的。

自动和基于人工的模型评估作业都需要访问 Amazon S3 和 Amazon Bedrock。要创建基于人工的模型评估作业,您需要获得 Amazon Cognito 和 Amazon SageMaker 的额外权限。

要详细了解创建自动模型评估作业和基于人工的模型评估作业所需的服务角色,请参阅 模型评估作业的服务角色要求

创建自动模型评测作业所需的控制台权限

以下策略包含使用 Amazon Bedrock 控制台创建自动模型评测作业所需的最少 Amazon Bedrock 和 Amazon S3 IAM 操作和资源集。

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "BedrockConsole",
        "Effect": "Allow",
        "Action": [
			"bedrock:CreateEvaluationJob",
			"bedrock:GetEvaluationJob",
			"bedrock:ListEvaluationJobs",
			"bedrock:StopEvaluationJob",
			"bedrock:GetCustomModel",
			"bedrock:ListCustomModels",
			"bedrock:CreateProvisionedModelThroughput",
			"bedrock:UpdateProvisionedModelThroughput",
			"bedrock:GetProvisionedModelThroughput",
			"bedrock:ListProvisionedModelThroughputs",
			"bedrock:GetImportedModel",
			"bedrock:ListImportedModels",
			"bedrock:ListTagsForResource",
			"bedrock:UntagResource",
			"bedrock:TagResource"
        ],
        "Resource": "*"
    },
    {
        "Sid": "AllowConsoleS3AccessForModelEvaluation",
        "Effect": "Allow",
        "Action": [
          "s3:GetObject",
          "s3:GetBucketCORS",
          "s3:ListBucket",
          "s3:ListBucketVersions",
          "s3:GetBucketLocation"
        ],
        "Resource": "*"
    }
]
}

创建基于人工的模型评测作业所需的控制台权限

要通过 Amazon Bedrock 控制台创建使用人工的模型评估作业,您需要为用户、群组或角色添加额外的权限。

以下策略包含通过 Amazon Cognito 和 Amazon SageMaker 创建基于人工的模型评估作业所需的最少 IAM 操作和资源集。您必须将此策略添加到自动模型评测作业的基本策略要求中。

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowCognitionActionsForWorkTeamCreations",
        "Effect": "Allow",
        "Action": [
           "cognito-idp:CreateUserPool",
           "cognito-idp:CreateUserPoolClient",
           "cognito-idp:CreateGroup",
           "cognito-idp:AdminCreateUser",
           "cognito-idp:AdminAddUserToGroup",
           "cognito-idp:CreateUserPoolDomain",
           "cognito-idp:UpdateUserPool",
           "cognito-idp:ListUsersInGroup",
           "cognito-idp:ListUsers",
           "cognito-idp:AdminRemoveUserFromGroup"
        ],
        "Resource": "*"
    },
    {
        "Sid": "AllowModelEvaluationResourceCreation",
        "Effect": "Allow",
        "Action": [
            "sagemaker:CreateFlowDefinition",
            "sagemaker:CreateWorkforce",
            "sagemaker:CreateWorkteam",
            "sagemaker:DescribeFlowDefinition",
            "sagemaker:DescribeHumanLoop",
            "sagemaker:ListFlowDefinitions",
            "sagemaker:ListHumanLoops",
            "sagemaker:DescribeWorkforce",
            "sagemaker:DescribeWorkteam",
            "sagemaker:ListWorkteams",
            "sagemaker:ListWorkforces",
            "sagemaker:DeleteFlowDefinition",
            "sagemaker:DeleteHumanLoop",
            "sagemaker:RenderUiTemplate",
            "sagemaker:StartHumanLoop",
            "sagemaker:StopHumanLoop"
        ],
        "Resource": "*"
    }
]
}

对 S3 存储桶的必要跨源资源共享 (CORS) 权限

创建使用 Amazon Bedrock 控制台的模型评测作业时,您必须在 S3 存储桶上指定 CORS 配置。

CORS 配置是一个定义规则的文档,这些规则标识可访问您的存储桶的源、每个源支持的操作(HTTP 方法)以及其他操作特定的信息。要详细了解如何使用 S3 控制台设置所需的 CORS 配置,请参阅《Amazon S3 用户指南》中的配置跨源资源共享(CORS)

以下是 S3 存储桶所需的最低 CORS 配置。

[{
    "AllowedHeaders": [
        "*"
    ],
    "AllowedMethods": [
        "GET",
        "PUT",
        "POST",
        "DELETE"
    ],
    "AllowedOrigins": [
        "*"
    ],
    "ExposeHeaders": ["Access-Control-Allow-Origin"]
}]