Erforderliche Servicerollenberechtigungen für die Erstellung eines Modellbewertungsauftrags mit einem Judge-Modell - Amazon Bedrock
Erforderliche IAM-Aktionen in Amazon BedrockErforderliche IAM-Aktionen in Amazon S3

Erforderliche Servicerollenberechtigungen für die Erstellung eines Modellbewertungsauftrags mit einem Judge-Modell

Wenn Sie einen Modellbewertungsauftrag erstellen möchten, der ein LLM als Judge verwendet, müssen Sie eine Servicerolle angeben. Die von Ihnen angefügte Richtlinie gewährt Amazon Bedrock Zugriff auf Ressourcen in Ihrem Konto und ermöglicht Amazon Bedrock, das ausgewählte Modell in Ihrem Namen aufzurufen.

Die Vertrauensrichtlinie definiert Amazon Bedrock als Serviceprinzipal unter bedrock.amazonaws.com. Jedes der folgenden Richtlinienbeispiele zeigt Ihnen die genauen IAM-Aktionen, die für die einzelnen im Modellbewertungsauftrag aufgerufenen Services erforderlich sind.

Informationen zum Erstellen einer benutzerdefinierten Servicerolle finden Sie im IAM-Benutzerhandbuch unter Erstellen einer Rolle, die eine benutzerdefinierte Vertrauensrichtlinie verwendet.

Erforderliche IAM-Aktionen in Amazon Bedrock

Sie müssen eine Richtlinie erstellen, mit der Amazon Bedrock die Modelle aufrufen kann, die Sie im Modellbewertungsauftrag angeben möchten. Weitere Informationen zur Verwaltung des Zugriffs auf Amazon-Bedrock-Modelle finden Sie unter Zugriff auf Amazon-Bedrock-Basismodelle. Im Abschnitt "Resource" der Richtlinie müssen Sie mindestens einen ARN eines Modells angeben, auf das Sie auch Zugriff haben. Um ein Modell zu verwenden, das mit einem kundenseitig verwalteten KMS-Schlüssel verschlüsselt ist, müssen Sie die erforderlichen IAM-Aktionen und -Ressourcen zur IAM-Servicerollenrichtlinie hinzufügen. Zudem müssen Sie die Servicerolle zur AWS KMS-Schlüsselrichtlinie hinzufügen.

Die Servicerolle muss Zugriff auf mindestens ein unterstütztes Evaluatormodell haben. Eine Liste der unterstützten Evaluatormodelle finden Sie unter Unterstützte Modelle.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "BedrockModelInvoke",
			"Effect": "Allow",
			"Action": [
				"bedrock:InvokeModel",
				"bedrock:CreateModelInvocationJob",
				"bedrock:StopModelInvocationJob"
			],
			"Resource": [
				"arn:aws:bedrock:us-east-1::foundation-model/*",
				"arn:aws:bedrock:us-east-1:111122223333:inference-profile/*",
				"arn:aws:bedrock:us-east-1:111122223333:provisioned-model/*",
				"arn:aws:bedrock:us-east-1:111122223333:imported-model/*"
			]
		}
	]
}

Erforderliche IAM-Aktionen in Amazon S3

Ihre Servicerollenrichtlinie muss Zugriff auf den Amazon-S3-Bucket beinhalten, in dem die Ausgabe von Modellbewertungsaufträgen gespeichert werden soll, sowie Zugriff auf den Prompt-Datensatz, den Sie in Ihrer CreateEvaluationJob-Anfrage oder über die Amazon-Bedrock-Konsole angegeben haben.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "FetchAndUpdateOutputBucket",
			"Effect": "Allow",
			"Action": [
				"s3:GetObject",
				"s3:ListBucket",
				"s3:PutObject",
				"s3:GetBucketLocation",
				"s3:AbortMultipartUpload",
				"s3:ListBucketMultipartUploads"
			],
			"Resource": [
				"arn:aws:s3:::my_customdataset1_bucket",
	            "arn:aws:s3:::my_customdataset1_bucket/myfolder",
	            "arn:aws:s3:::my_customdataset2_bucket",
				"arn:aws:s3:::my_customdataset2_bucket/myfolder"
			]
		}
	]
}