使用人力評估員之模型評估任務的服務角色要求 - Amazon Bedrock

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用人力評估員之模型評估任務的服務角色要求

若要建立使用人力評估員的模型評估任務,您必須指定兩個服務角色。

下列清單摘要說明必須在 Amazon 基岩主控台中指定的每個必要服務角色的IAM政策需求。

Amazon 基岩服務角色的IAM政策需求摘要

  • 您必須連接將 Amazon Bedrock 定義為服務主體的信任政策。

  • 您必須允許 Amazon Bedrock 代表您調用選取的模型。

  • 您必須允許 Amazon Bedrock 存取存放您的提示資料集的 S3 儲存貯體,以及要儲存結果的 S3 儲存貯體。

  • 您必須允許 Amazon Bedrock 在您的帳戶中建立所需的人工迴圈資源。

  • (建議使用) 使用Condition區塊來指定可存取的帳號。

  • (選擇性) 如果您已加密提示資料集儲存貯體或想要儲存結果的 Amazon S3 儲存貯體,則必須允許 Amazon 基岩解密KMS金鑰。

Amazon SageMaker 服務角色的IAM政策需求摘要

  • 您必須附加定義 SageMaker 為服務主體的信任原則。

  • 您必須 SageMaker 允許存取保存提示資料集的 S3 儲存貯體,以及要儲存結果的 S3 儲存貯體。

  • (選擇性) 如果您已加密提示資料集儲存貯體或想要結果的位置,則必須允許 SageMaker 使用客戶管理的金鑰。

若要建立自訂服務角色,請參閱《使用指南》中的〈建立使用自訂信任原則的IAM角

Amazon S3 必要IAM動作

下列政策範例授與儲存模型評估結果之 S3 儲存貯體的存取權,以及存取您已指定的自訂提示資料集。您需要將此政策附加到 SageMaker 服務角色和 Amazon 基岩服務角色。

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowAccessToCustomDatasets",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::custom-prompt-dataset"
        ]
    },
    {
        "Sid": "AllowAccessToOutputBucket",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetBucketLocation",
            "s3:AbortMultipartUpload",
            "s3:ListBucketMultipartUploads"
        ],
        "Resource": [
            "arn:aws:s3:::model_evaluation_job_output"
        ]
    }
]
}
必要的 Amazon 基岩IAM動作

若要允許 Amazon 基岩叫用您計劃在自動模型評估任務中指定的模型,請將下列政策附加到 Amazon 基岩服務角色。

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "AllowSpecificModels",
        "Effect": "Allow",
        "Action": [
            "bedrock:InvokeModel",
            "bedrock:InvokeModelWithResponseStream"
        ],
        "Resource": [
			"arn:aws:bedrock:AWS 區域::foundation-model/model-id-of-foundational-model"
        ]
    }
]
}
所需的 Amazon Augmented AI IAM 操作

您還必須建立一個政策,讓 Amazon Bedrock 建立與以人為基礎的模型評估任務相關的資源。由於 Amazon Bedrock 會建立開始進行模型評估任務所需的資源,因此您必須使用 "Resource": "*"。您必須將本政策附加到 Amazon Bedrock 服務角色。

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "ManageHumanLoops",
        "Effect": "Allow",
        "Action": [
            "sagemaker:StartHumanLoop",
            "sagemaker:DescribeFlowDefinition",
            "sagemaker:DescribeHumanLoop",
            "sagemaker:StopHumanLoop",
            "sagemaker:DeleteHumanLoop"
        ],
        "Resource": "*"
    }
]
}
服務主體要求 (Amazon Bedrock)

您還必須指定將定義 Amazon Bedrock 為服務主體的信任政策。這允許由 Amazon Bedrock 擔任此角色。

{
"Version": "2012-10-17",
"Statement": [{
    "Sid": "AllowBedrockToAssumeRole",
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333"
        },
        "ArnEquals": {
            "aws:SourceArn": "arn:aws:bedrock:AWS 區域:111122223333:evaluation-job/*"
        }
    }
}]
}
服務主要要求 (SageMaker)

您還必須指定將定義 Amazon Bedrock 為服務主體的信任政策。這允 SageMaker 許承擔角色。

{
"Version": "2012-10-17",
"Statement": [
{
  "Sid": "AllowSageMakerToAssumeRole",
  "Effect": "Allow",
  "Principal": {
    "Service": "sagemaker.amazonaws.com"
  },
  "Action": "sts:AssumeRole"
}
]
}