本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用人力評估員之模型評估任務的服務角色要求
若要建立使用人力評估員的模型評估任務,您必須指定兩個服務角色。
下列清單摘要說明必須在 Amazon 基岩主控台中指定的每個必要服務角色的IAM政策需求。
Amazon 基岩服務角色的IAM政策需求摘要
-
您必須連接將 Amazon Bedrock 定義為服務主體的信任政策。
-
您必須允許 Amazon Bedrock 代表您調用選取的模型。
-
您必須允許 Amazon Bedrock 存取存放您的提示資料集的 S3 儲存貯體,以及要儲存結果的 S3 儲存貯體。
-
您必須允許 Amazon Bedrock 在您的帳戶中建立所需的人工迴圈資源。
-
(建議使用) 使用
Condition
區塊來指定可存取的帳號。 -
(選擇性) 如果您已加密提示資料集儲存貯體或想要儲存結果的 Amazon S3 儲存貯體,則必須允許 Amazon 基岩解密KMS金鑰。
Amazon SageMaker 服務角色的IAM政策需求摘要
-
您必須附加定義 SageMaker 為服務主體的信任原則。
-
您必須 SageMaker 允許存取保存提示資料集的 S3 儲存貯體,以及要儲存結果的 S3 儲存貯體。
-
(選擇性) 如果您已加密提示資料集儲存貯體或想要結果的位置,則必須允許 SageMaker 使用客戶管理的金鑰。
若要建立自訂服務角色,請參閱《使用指南》中的〈建立使用自訂信任原則的IAM角色〉。
Amazon S3 必要IAM動作
下列政策範例授與儲存模型評估結果之 S3 儲存貯體的存取權,以及存取您已指定的自訂提示資料集。您需要將此政策附加到 SageMaker 服務角色和 Amazon 基岩服務角色。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToCustomDatasets", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
custom-prompt-dataset
" ] }, { "Sid": "AllowAccessToOutputBucket", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket", "s3:PutObject", "s3:GetBucketLocation", "s3:AbortMultipartUpload", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::model_evaluation_job_output
" ] } ] }
必要的 Amazon 基岩IAM動作
若要允許 Amazon 基岩叫用您計劃在自動模型評估任務中指定的模型,請將下列政策附加到 Amazon 基岩服務角色。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSpecificModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": [ "arn:aws:bedrock:
AWS 區域
::foundation-model/model-id-of-foundational-model
" ] } ] }
所需的 Amazon Augmented AI IAM 操作
您還必須建立一個政策,讓 Amazon Bedrock 建立與以人為基礎的模型評估任務相關的資源。由於 Amazon Bedrock 會建立開始進行模型評估任務所需的資源,因此您必須使用 "Resource":
"*"
。您必須將本政策附加到 Amazon Bedrock 服務角色。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageHumanLoops", "Effect": "Allow", "Action": [ "sagemaker:StartHumanLoop", "sagemaker:DescribeFlowDefinition", "sagemaker:DescribeHumanLoop", "sagemaker:StopHumanLoop", "sagemaker:DeleteHumanLoop" ], "Resource": "*" } ] }
服務主體要求 (Amazon Bedrock)
您還必須指定將定義 Amazon Bedrock 為服務主體的信任政策。這允許由 Amazon Bedrock 擔任此角色。
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowBedrockToAssumeRole", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:
AWS 區域
:111122223333:evaluation-job/*" } } }] }
服務主要要求 (SageMaker)
您還必須指定將定義 Amazon Bedrock 為服務主體的信任政策。這允 SageMaker 許承擔角色。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSageMakerToAssumeRole", "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }