知識庫評估任務的服務角色需求 - Amazon Bedrock

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

知識庫評估任務的服務角色需求

若要建立知識庫評估任務,您必須指定服務角色。您連接至角色的政策會授予 Amazon Bedrock 存取您帳戶中資源的權限,並允許 Amazon Bedrock 執行下列動作:

  • 使用 RetrieveAndGenerate API 動作調用您為輸出產生選取的模型,並評估知識庫輸出。

  • 在您的知識庫執行個體上叫用 Amazon Bedrock 知識庫RetrieveRetrieveAndGenerate API 動作。

若要建立自訂服務角色,請參閱《IAM 使用者指南》中的建立使用自訂信任政策的角色

Amazon S3 存取所需的 IAM 動作

下列範例政策會授予對 S3 儲存貯體的存取權,同時發生下列兩種情況:

  • 您可以儲存知識庫評估結果。

  • Amazon Bedrock 會讀取您的輸入資料集。

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowAccessToCustomDatasets",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_customdataset1_bucket",
                "arn:aws:s3:::my_customdataset1_bucket/myfolder",
                "arn:aws:s3:::my_customdataset2_bucket",
                "arn:aws:s3:::my_customdataset2_bucket/myfolder"
            ]
        },
        {
            "Sid": "AllowAccessToOutputBucket",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_output_bucket",
                "arn:aws:s3:::my_output_bucket/myfolder"
            ]
        }
    ]
}
所需的 Amazon Bedrock IAM 動作

您也需要建立允許 Amazon Bedrock 執行下列動作的政策:

  1. 叫用您計劃為下列項目指定的模型:

    • 使用 RetrieveAndGenerate API 動作產生結果。

    • 結果評估。

    對於政策中的Resource金鑰,您必須指定至少一個您有權存取之模型的 ARN。若要使用以客戶受管 KMS 金鑰加密的模型,您必須將必要的 IAM 動作和資源新增至 IAM 服務角色政策。您也必須將服務角色新增至 AWS KMS 金鑰政策。

  2. 呼叫 RetrieveRetrieveAndGenerate API 動作。請注意,在主控台的自動角色建立中,無論您選擇評估該任務的動作為何,我們都會同時授予 RetrieveRetrieveAndGenerate API 動作的許可。如此一來,我們就能為該角色提供額外的彈性和可重複使用性。不過,為了提高安全性,自動建立的角色會繫結至單一知識庫執行個體。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSpecificModels",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:CreateModelInvocationJob",
                "bedrock:StopModelInvocationJob",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:GetInferenceProfile",
                "bedrock:GetImportedModel"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*",
                "arn:aws:bedrock:region:account-id:inference-profile/*",
                "arn:aws:bedrock:region:account-id:provisioned-model/*",
                "arn:aws:bedrock:region:account-id:imported-model/*",
                "arn:aws:bedrock:region:account-id:application-inference-profile/*"
            ]
        },
        {
            "Sid": "AllowKnowledgeBaseAPis",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:knowledge-base/knowledge-base-id"
            ]
        }
    ]
}
服務主體要求

您還必須指定將定義 Amazon Bedrock 為服務主體的信任政策。此政策允許 Amazon Bedrock 擔任該角色。萬用字元 (*) 模型評估任務 ARN 是必要的,以便 Amazon Bedrock 可以在您的帳戶中建立模型評估任務 AWS 。

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowBedrockToAssumeRole",
            "Effect": "Allow",
            "Principal":
            {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition":
            {
                "StringEquals":
                {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals":
                {
                    "aws:SourceArn": "arn:aws:bedrock:region:account-id:evaluation-job/*"
                }
            }
        }
    ]
}