使用评估人员的模型评估作业的服务角色要求

要创建使用评估人员的模型评估作业，必须指定两个服务角色。

以下列表汇总了必须在 Amazon Bedrock 控制台中指定的每个必需服务角色的IAM策略要求。

Amazon Bedrock 服务角色的IAM政策要求摘要

必须添加将 Amazon Bedrock 定义为服务主体的信任策略。
必须允许 Amazon Bedrock 代表您调用所选模型。
必须允许 Amazon Bedrock 访问保存提示数据集的 S3 存储桶和将要保存结果的 S3 存储桶。
必须允许 Amazon Bedrock 在您的账户中创建所需的人工循环资源。
（推荐）使用Condition区块来指定可以访问的账户。
（可选）如果您已加密提示数据集存储桶或要保存结果的 Amazon S3 存储桶，则必须允许 Amazon Bedrock 解密您的密KMS钥。

Amazon SageMaker 服务角色的IAM政策要求摘要

您必须附上定义 SageMaker 为服务主体的信任策略。
您必须 SageMaker 允许访问保存提示数据集的 S3 存储桶和要保存结果的 S3 存储桶。
（可选）如果您已加密提示数据集存储桶或想要获得结果的位置，则必须允许 SageMaker 使用您的客户托管密钥。

要创建自定义服务角色，请参阅IAM用户指南中的创建使用自定义信任策略的角色。

亚马逊 S3 必需的IAM操作

以下策略示例将授予对保存模型评估结果的 S3 存储桶的访问权限，以及您指定的自定义提示数据集的访问权限。您需要将此策略附加到 SageMaker 服务角色和 Amazon Bedrock 服务角色。


{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowAccessToCustomDatasets",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::custom-prompt-dataset"
        ]
    },
    {
        "Sid": "AllowAccessToOutputBucket",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetBucketLocation",
            "s3:AbortMultipartUpload",
            "s3:ListBucketMultipartUploads"
        ],
        "Resource": [
            "arn:aws:s3:::model_evaluation_job_output"
        ]
    }
]
}

必需的 Amazon Bedrock 操作 IAM

要允许 Amazon Bedrock 调用您计划在自动模型评估任务中指定的模型，请将以下策略附加到 Amazon Bedrock 服务角色。


{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowSpecificModels",
        "Effect": "Allow",
        "Action": [
            "bedrock:InvokeModel",
            "bedrock:InvokeModelWithResponseStream"
        ],
        "Resource": [
			"arn:aws:bedrock:AWS 区域::foundation-model/model-id-of-foundational-model"
        ]
    }
]
}

必需的 Amazon Augented AI IAM 操作

您还必须创建一项策略，允许 Amazon Bedrock 创建与基于人工的模型评估任务相关的资源。由于 Amazon Bedrock 创建了启动模型评估作业所需的资源，因此您必须使用 "Resource": "*"。必须将此策略附加到 Amazon Bedrock 服务角色中。


{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "ManageHumanLoops",
        "Effect": "Allow",
        "Action": [
            "sagemaker:StartHumanLoop",
            "sagemaker:DescribeFlowDefinition",
            "sagemaker:DescribeHumanLoop",
            "sagemaker:StopHumanLoop",
            "sagemaker:DeleteHumanLoop"
        ],
        "Resource": "*"
    }
]
}

服务主体要求 (Amazon Bedrock)

还必须指定将 Amazon Bedrock 定义为服务主体的信任策略，以允许 Amazon Bedrock 担任该角色。


{
"Version": "2012-10-17",
"Statement": [{
    "Sid": "AllowBedrockToAssumeRole",
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333"
        },
        "ArnEquals": {
            "aws:SourceArn": "arn:aws:bedrock:AWS 区域:111122223333:evaluation-job/*"
        }
    }
}]
}

服务主体要求 (SageMaker)

还必须指定将 Amazon Bedrock 定义为服务主体的信任策略，这 SageMaker 允许扮演这个角色。


{
"Version": "2012-10-17",
"Statement": [
{
  "Sid": "AllowSageMakerToAssumeRole",
  "Effect": "Allow",
  "Principal": {
    "Service": "sagemaker.amazonaws.com"
  },
  "Action": "sts:AssumeRole"
}
]
}

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

自动模型评估作业

数据加密