自動模型評估任務的服務角色要求 - Amazon Bedrock

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

自動模型評估任務的服務角色要求

若要建立自動模型評估任務,您必須指定服務角色。您附加的政策授予 Amazon Bedrock 存取您帳戶中的資源的權限,並允許 Amazon Bedrock 代表您調用選取的模型。

您還必須使用 bedrock.amazonaws.com 將 Amazon Bedrock 定義為服務主體的信任政策。以下每個政策範例都會顯示根據自動模型評估任務中調用的每個服務所需的確切 IAM 動作。

若要建立自訂服務角色,請參閱《IAM 使用者指南》中的建立使用自訂信任政策的角色

必要的 Amazon S3 IAM 動作

下列政策範例授與儲存模型評估結果之 S3 儲存貯體的存取權,以及 (選用) 存取您已指定的任何自訂提示資料集。

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowAccessToCustomDatasets",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::my_customdataset1_bucket",
            "arn:aws:s3:::my_customdataset1_bucket/myfolder",
            "arn:aws:s3:::my_customdataset2_bucket",
            "arn:aws:s3:::my_customdataset2_bucket/myfolder"
        ]
    },
    {
        "Sid": "AllowAccessToOutputBucket",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetBucketLocation",
            "s3:AbortMultipartUpload",
            "s3:ListBucketMultipartUploads"
        ],
        "Resource": [
            "arn:aws:s3:::my_output_bucket",
            "arn:aws:s3:::my_output_bucket/myfolder"
        ]
    }
]
}
所需的 Amazon Bedrock IAM 動作

您還需要建立一個能讓 Amazon Bedrock 調用您計劃在自動模型評估任務中指定的模型的政策。若要進一步了解如何管理 Amazon Bedrock 模型的存取權,請參閱 存取 Amazon Bedrock 基礎模型。在政策的 "Resource"區段中,您必須指定至少一個您同樣可存取的模型 ARN。若要使用與客戶受管金鑰 KMS 金鑰加密的模型,您必須將必要的 IAM 動作和資源新增至 IAM 服務角色政策。您也必須將服務角色新增至 AWS KMS 金鑰政策。

{
		    "Version": "2012-10-17",
            "Statement": [
        {
            "Sid": "AllowAccessToBedrockResources",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:CreateModelInvocationJob",
                "bedrock:StopModelInvocationJob",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:GetInferenceProfile", 
                "bedrock:ListInferenceProfiles",
                "bedrock:GetImportedModel",
                "bedrock:GetPromptRouter",
                "sagemaker:InvokeEndpoint"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/*",
                "arn:aws:bedrock:*:111122223333:inference-profile/*",
                "arn:aws:bedrock:*:111122223333:provisioned-model/*",
                "arn:aws:bedrock:*:111122223333:imported-model/*",
                "arn:aws:bedrock:*:111122223333:application-inference-profile/*",
                "arn:aws:bedrock:*:111122223333:default-prompt-router/*",
                "arn:aws:sagemaker:*:111122223333:endpoint/*",
                "arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
            ]
        }
    ]
}
服務主體要求

您還必須指定將定義 Amazon Bedrock 為服務主體的信任政策。這允許由 Amazon Bedrock 擔任此角色。萬用字元 (*) 模型評估任務 ARN 是必要的,以便 Amazon Bedrock 可以在您的帳戶中建立模型評估任務 AWS 。

{
"Version": "2012-10-17",
"Statement": [{
    "Sid": "AllowBedrockToAssumeRole",
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333"
        },
        "ArnEquals": {
            "aws:SourceArn": "arn:aws:bedrock:AWS 區域:111122223333:evaluation-job/*"
        }
    }
}]
}