本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用评估人员的模型评估作业的服务角色要求
要创建使用评估人员的模型评估作业,必须指定两个服务角色。
以下列表汇总了必须在 Amazon Bedrock 控制台中指定的每个必需服务角色的IAM策略要求。
Amazon Bedrock 服务角色的IAM政策要求摘要
-
必须添加将 Amazon Bedrock 定义为服务主体的信任策略。
-
必须允许 Amazon Bedrock 代表您调用所选模型。
-
必须允许 Amazon Bedrock 访问保存提示数据集的 S3 存储桶和将要保存结果的 S3 存储桶。
-
必须允许 Amazon Bedrock 在您的账户中创建所需的人工循环资源。
-
(推荐)使用
Condition
区块来指定可以访问的账户。 -
(可选)如果您已加密提示数据集存储桶或要保存结果的 Amazon S3 存储桶,则必须允许 Amazon Bedrock 解密您的密KMS钥。
Amazon SageMaker 服务角色的IAM政策要求摘要
-
您必须附上定义 SageMaker 为服务主体的信任策略。
-
您必须 SageMaker 允许访问保存提示数据集的 S3 存储桶和要保存结果的 S3 存储桶。
-
(可选)如果您已加密提示数据集存储桶或想要获得结果的位置,则必须允许 SageMaker 使用您的客户托管密钥。
要创建自定义服务角色,请参阅IAM用户指南中的创建使用自定义信任策略的角色。
亚马逊 S3 必需的IAM操作
以下策略示例将授予对保存模型评估结果的 S3 存储桶的访问权限,以及您指定的自定义提示数据集的访问权限。您需要将此策略附加到 SageMaker 服务角色和 Amazon Bedrock 服务角色。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToCustomDatasets", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
custom-prompt-dataset
" ] }, { "Sid": "AllowAccessToOutputBucket", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket", "s3:PutObject", "s3:GetBucketLocation", "s3:AbortMultipartUpload", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::model_evaluation_job_output
" ] } ] }
必需的 Amazon Bedrock 操作 IAM
要允许 Amazon Bedrock 调用您计划在自动模型评估任务中指定的模型,请将以下策略附加到 Amazon Bedrock 服务角色。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSpecificModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": [ "arn:aws:bedrock:
AWS 区域
::foundation-model/model-id-of-foundational-model
" ] } ] }
必需的 Amazon Augented AI IAM 操作
您还必须创建一项策略,允许 Amazon Bedrock 创建与基于人工的模型评估任务相关的资源。由于 Amazon Bedrock 创建了启动模型评估作业所需的资源,因此您必须使用 "Resource":
"*"
。必须将此策略附加到 Amazon Bedrock 服务角色中。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageHumanLoops", "Effect": "Allow", "Action": [ "sagemaker:StartHumanLoop", "sagemaker:DescribeFlowDefinition", "sagemaker:DescribeHumanLoop", "sagemaker:StopHumanLoop", "sagemaker:DeleteHumanLoop" ], "Resource": "*" } ] }
服务主体要求 (Amazon Bedrock)
还必须指定将 Amazon Bedrock 定义为服务主体的信任策略,以允许 Amazon Bedrock 担任该角色。
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowBedrockToAssumeRole", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:
AWS 区域
:111122223333:evaluation-job/*" } } }] }
服务主体要求 (SageMaker)
还必须指定将 Amazon Bedrock 定义为服务主体的信任策略,这 SageMaker 允许扮演这个角色。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSageMakerToAssumeRole", "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }