Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Anforderungen an die Servicerolle für Aufträge zur Modellbewertung
Geben Sie eine Servicerolle an, um einen Auftrag zur Modellbewertung zu erstellen. Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
Die erforderlichen IAM-Aktionen und Ressourcen hängen von der Art des Modellbewertungsauftrags ab, den Sie erstellen. In den folgenden Abschnitten erfahren Sie mehr über die erforderlichen IAM-Aktionen, Service-Prinzipale und Ressourcen in Amazon Bedrock, Amazon SageMaker AI und Amazon S3. Optional können Sie Ihre Daten auch mit AWS Key Management Service verschlüsseln.
**Topics**
+ [Anforderungen an die Servicerolle für automatische Aufträge zur Modellbewertung](automatic-service-roles.md)
+ [Anforderungen an die Servicerolle für Aufträge zur Modellbewertung durch Mitarbeiter](model-eval-service-roles.md)
+ [Erforderliche Servicerollenberechtigungen für die Erstellung eines Modellbewertungsauftrags mit einem Judge-Modell](judge-service-roles.md)
+ [Anforderungen an die Servicerolle für Aufträge zur Bewertung von Wissensdatenbanken](rag-eval-service-roles.md)
# Anforderungen an die Servicerolle für automatische Aufträge zur Modellbewertung
Geben Sie eine Servicerolle an, um einen automatischen Auftrag zur Modellbewertung zu erstellen. Die von Ihnen beigefügte Richtlinie gewährt Amazon Bedrock Zugriff auf Ressourcen in Ihrem Konto und ermöglicht Amazon Bedrock, das ausgewählte Modell in Ihrem Namen aufzurufen.
Sie müssen auch eine Vertrauensrichtlinie beifügen, die Amazon Bedrock als den Service-Prinzipal definiert, der `bedrock.amazonaws.com` verwendet. Jedes der folgenden Richtlinienbeispiele zeigt Ihnen die IAM-Aktionen, die für jeden Service erforderlich sind, der in einem automatischen Auftrag zur Modellbewertung aufgerufen wird.
Informationen zum Erstellen einer benutzerdefinierten Servicerolle finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer Rolle, die eine benutzerdefinierte Vertrauensrichtlinie verwendet](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
**Erforderliche IAM-Aktionen in Amazon S3**
Das folgende Richtlinienbeispiel gewährt Zugriff auf die S3-Buckets, in denen Ihre Ergebnisse zur Modellbewertung gespeichert sind, sowie (optional) Zugriff auf alle von Ihnen angegebenen benutzerdefinierten Prompt-Datensätze.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my_output_bucket",
"arn:aws:s3:::my_output_bucket/myfolder"
]
}
]
}
```
------
**Erforderliche IAM-Aktionen in Amazon Bedrock**
Sie müssen auch eine Richtlinie erstellen, mit der Amazon Bedrock das Modell aufrufen kann, das Sie im automatischen Auftrag zur Modellbewertung angeben möchten. Weitere Informationen zur Verwaltung des Zugriffs auf Amazon-Bedrock-Modelle finden Sie unter [Zugriff auf Amazon-Bedrock-Basismodelle](model-access.md). Im Abschnitt `"Resource"` der Richtlinie müssen Sie mindestens einen ARN eines Modells angeben, auf das Sie auch Zugriff haben. Um ein Modell zu verwenden, das mit einem kundenseitig verwalteten KMS-Schlüssel verschlüsselt ist, müssen Sie die erforderlichen IAM-Aktionen und -Ressourcen zur IAM-Servicerollenrichtlinie hinzufügen. Sie müssen auch die Servicerolle zur AWS KMS Schlüsselrichtlinie hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToBedrockResources",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:ListInferenceProfiles",
"bedrock:GetImportedModel",
"bedrock:GetPromptRouter",
"sagemaker:InvokeEndpoint"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*",
"arn:aws:bedrock:*:111122223333:inference-profile/*",
"arn:aws:bedrock:*:111122223333:provisioned-model/*",
"arn:aws:bedrock:*:111122223333:imported-model/*",
"arn:aws:bedrock:*:111122223333:application-inference-profile/*",
"arn:aws:bedrock:*:111122223333:default-prompt-router/*",
"arn:aws:sagemaker:*:111122223333:endpoint/*",
"arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
]
}
]
}
```
------
**Anforderungen an den Service-Prinzipal**
Sie müssen auch eine Vertrauensrichtlinie angeben, die Amazon Bedrock als Service-Prinzipal definiert. Dadurch kann Amazon Bedrock die Rolle übernehmen. Der ARN für Modellevaluierungsjobs mit Platzhalter (`*`) ist erforderlich, damit Amazon Bedrock Modellevaluierungsaufträge in Ihrem AWS Konto erstellen kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:evaluation-job/*"
}
}
}]
}
```
------
# Anforderungen an die Servicerolle für Aufträge zur Modellbewertung durch Mitarbeiter
Geben Sie zwei Servicerollen an, um einen Auftrag zur Modellbewertung zu erstellen, bei dem Bewerter eingesetzt werden.
In den folgenden Listen sind die IAM-Richtlinienanforderungen für jede erforderliche Servicerolle zusammengefasst, die in der Amazon-Bedrock-Konsole angegeben werden muss.
**Zusammenfassung der IAM-Richtlinienanforderungen für die Amazon-Bedrock-Servicerolle**
+ Sie müssen eine Vertrauensrichtlinie anfügen, die Amazon Bedrock als den Service-Prinzipal definiert.
+ Sie müssen Amazon Bedrock erlauben, die ausgewählten Modelle in Ihrem Namen aufzurufen.
+ Sie müssen Amazon Bedrock Zugriff auf den S3-Bucket gewähren, der Ihren Prompt-Datensatz enthält, sowie auf den S3-Bucket, in dem Sie die Ergebnisse speichern möchten.
+ Sie müssen Amazon Bedrock erlauben, die erforderlichen Human-Loop-Ressourcen in Ihrem Konto zu erstellen.
+ (Empfohlen) Verwenden Sie einen `Condition`-*Block*, um Konten anzugeben, auf die zugegriffen werden kann.
+ (Optional) Sie müssen Amazon Bedrock erlauben, Ihren KMS-Schlüssel zu entschlüsseln, wenn Sie Ihren Prompt-Dataset-Bucket oder den Amazon-S3-Bucket verschlüsselt haben, in dem Sie die Ergebnisse speichern möchten.
**Zusammenfassung der IAM-Richtlinienanforderungen für die Amazon SageMaker AI-Servicerolle**
+ Sie müssen eine Vertrauensrichtlinie beifügen, die SageMaker KI als Service Principal definiert.
+ Sie müssen SageMaker KI Zugriff auf den S3-Bucket gewähren, der Ihren Prompt-Datensatz enthält, und auf den S3-Bucket, in dem Sie die Ergebnisse speichern möchten.
+ (Optional) Sie müssen SageMaker KI erlauben, Ihre vom Kunden verwalteten Schlüssel zu verwenden, wenn Sie Ihren Prompt-Dataset-Bucket oder den Speicherort, an dem Sie die Ergebnisse haben wollten, verschlüsselt haben.
Informationen zum Erstellen einer benutzerdefinierten Servicerolle finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer Rolle, die eine benutzerdefinierte Vertrauensrichtlinie verwendet](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
**Erforderliche IAM-Aktionen in Amazon S3**
Das folgende Richtlinienbeispiel gewährt Zugriff auf die S3-Buckets, in denen Ihre Ergebnisse zur Modellbewertung gespeichert sind, sowie Zugriff auf den von Ihnen angegebenen benutzerdefinierten Prompt-Datensatz. Sie müssen diese Richtlinie sowohl der SageMaker AI-Servicerolle als auch der Amazon Bedrock-Servicerolle zuordnen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::custom-prompt-dataset"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::model_evaluation_job_output"
]
}
]
}
```
------
**Erforderliche IAM-Aktionen in Amazon Bedrock**
Damit Amazon Bedrock das Modell aufrufen kann, das Sie im automatischen Modellbewertungsauftrag angeben möchten, fügen Sie der Amazon-Bedrock-Servicerolle die folgende Richtlinie an. Im Abschnitt `"Resource"` der Richtlinie müssen Sie mindestens einen ARN eines Modells angeben, auf das Sie auch Zugriff haben. Um ein Modell zu verwenden, das mit einem kundenseitig verwalteten KMS-Schlüssel verschlüsselt ist, müssen Sie die erforderlichen IAM-Aktionen und -Ressourcen zur IAM-Servicerolle hinzufügen. Sie müssen auch alle erforderlichen AWS KMS wichtigen Richtlinienelemente hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToBedrockResources",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:ListInferenceProfiles",
"bedrock:GetImportedModel",
"bedrock:GetPromptRouter",
"sagemaker:InvokeEndpoint"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*",
"arn:aws:bedrock:*:111122223333:inference-profile/*",
"arn:aws:bedrock:*:111122223333:provisioned-model/*",
"arn:aws:bedrock:*:111122223333:imported-model/*",
"arn:aws:bedrock:*:111122223333:application-inference-profile/*",
"arn:aws:bedrock:*:111122223333:default-prompt-router/*",
"arn:aws:sagemaker:*:111122223333:endpoint/*",
"arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
]
}
]
}
```
------
**Erforderliche IAM-Aktionen in Amazon Augmented AI**
Außerdem müssen Sie eine Richtlinie erstellen, mit der Amazon Bedrock Ressourcen erstellen kann, die sich auf Aufträge zur Modellbewertung durch Mitarbeiter beziehen. Da Amazon Bedrock die erforderlichen Ressourcen erstellt, um den Auftrag zur Modellbewertung zu starten, müssen Sie `"Resource": "*"` verwenden. Sie müssen diese Richtlinie der Amazon-Bedrock-Servicerolle anfügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageHumanLoops",
"Effect": "Allow",
"Action": [
"sagemaker:StartHumanLoop",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:StopHumanLoop",
"sagemaker:DeleteHumanLoop"
],
"Resource": "*"
}
]
}
```
------
**Anforderungen an den Service-Prinzipal (Amazon Bedrock)**
Sie müssen auch eine Vertrauensrichtlinie angeben, die Amazon Bedrock als Service-Prinzipal definiert. Dadurch kann Amazon Bedrock die Rolle übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:evaluation-job/*"
}
}
}
]
}
```
------
**Hauptanforderungen für den Service (SageMaker KI)**
Sie müssen auch eine Vertrauensrichtlinie angeben, die Amazon Bedrock als Service-Prinzipal definiert. Dadurch kann SageMaker KI die Rolle übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSageMakerToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Erforderliche Servicerollenberechtigungen für die Erstellung eines Modellbewertungsauftrags mit einem Judge-Modell
Wenn Sie einen Modellbewertungsauftrag erstellen möchten, der ein LLM als Judge verwendet, müssen Sie eine Servicerolle angeben. Die von Ihnen angefügte Richtlinie gewährt Amazon Bedrock Zugriff auf Ressourcen in Ihrem Konto und ermöglicht Amazon Bedrock, das ausgewählte Modell in Ihrem Namen aufzurufen.
Die Vertrauensrichtlinie definiert Amazon Bedrock als Serviceprinzipal unter `bedrock.amazonaws.com`. Jedes der folgenden Richtlinienbeispiele zeigt Ihnen die genauen IAM-Aktionen, die für die einzelnen im Modellbewertungsauftrag aufgerufenen Services erforderlich sind.
Informationen zum Erstellen einer benutzerdefinierten Servicerolle finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer Rolle, die eine benutzerdefinierte Vertrauensrichtlinie verwendet](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
## Erforderliche IAM-Aktionen in Amazon Bedrock
Sie müssen eine Richtlinie erstellen, mit der Amazon Bedrock die Modelle aufrufen kann, die Sie im Modellbewertungsauftrag angeben möchten. Weitere Informationen zur Verwaltung des Zugriffs auf Amazon-Bedrock-Modelle finden Sie unter [Zugriff auf Amazon-Bedrock-Basismodelle](model-access.md). Im Abschnitt `"Resource"` der Richtlinie müssen Sie mindestens einen ARN eines Modells angeben, auf das Sie auch Zugriff haben. Um ein Modell zu verwenden, das mit einem kundenseitig verwalteten KMS-Schlüssel verschlüsselt ist, müssen Sie die erforderlichen IAM-Aktionen und -Ressourcen zur IAM-Servicerollenrichtlinie hinzufügen. Sie müssen auch die Servicerolle zur AWS KMS Schlüsselrichtlinie hinzufügen.
Die Servicerolle muss Zugriff auf mindestens ein unterstütztes Evaluatormodell haben. Eine Liste der unterstützten Evaluatormodelle finden Sie unter [Unterstützte Modelle](evaluation-judge.md#evaluation-judge-supported).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BedrockModelInvoke",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*",
"arn:aws:bedrock:us-east-1:111122223333:inference-profile/*",
"arn:aws:bedrock:us-east-1:111122223333:provisioned-model/*",
"arn:aws:bedrock:us-east-1:111122223333:imported-model/*"
]
}
]
}
```
------
## Erforderliche IAM-Aktionen in Amazon S3
Ihre Servicerollenrichtlinie muss Zugriff auf den Amazon-S3-Bucket beinhalten, in dem die Ausgabe von Modellbewertungsaufträgen gespeichert werden soll, sowie Zugriff auf den Prompt-Datensatz, den Sie in Ihrer `CreateEvaluationJob`-Anfrage oder über die Amazon-Bedrock-Konsole angegeben haben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FetchAndUpdateOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
}
]
}
```
------
# Anforderungen an die Servicerolle für Aufträge zur Bewertung von Wissensdatenbanken
Geben Sie eine Servicerolle an, um einen Auftrag zur Bewertung einer Wissensdatenbank zu erstellen. Die Richtlinie, die Sie mit der Rolle verknüpfen, gewährt Amazon Bedrock Zugriff auf Ressourcen in Ihrem Konto und ermöglicht Amazon Bedrock Folgendes:
+ Rufen Sie die Modelle auf, die Sie für die Ausgabegenerierung mit der `RetrieveAndGenerate`-API-Aktion auswählen, und bewerten Sie die Ausgaben der Wissensdatenbank.
+ Rufen Sie die API-Aktionen `Retrieve` und `RetrieveAndGenerate` von Wissensdatenbanken für Amazon Bedrock auf Ihrer Wissensdatenbank-Instance auf.
Informationen zum Erstellen einer benutzerdefinierten Servicerolle finden Sie unter [Erstellen einer Rolle, die benutzerdefinierte Vertrauensrichtlinien verwendet](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) im *IAM-Benutzerhandbuch*.
**Erforderliche IAM-Aktionen für den Amazon-S3-Zugriff**
Die folgende Beispielrichtlinie gewährt Zugriff auf die S3-Buckets, in denen beide der folgenden Ereignisse auftreten:
+ Sie speichern die Ergebnisse Ihrer Wissensdatenbankbewertung.
+ Amazon Bedrock liest Ihren Eingabedatensatz.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket"
],
"Resource":
[
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource":
[
"arn:aws:s3:::my_output_bucket",
"arn:aws:s3:::my_output_bucket/myfolder"
]
}
]
}
```
------
**Erforderliche IAM-Aktionen in Amazon Bedrock**
Sie müssen auch eine Richtlinie erstellen, die Amazon Bedrock Folgendes ermöglicht:
1. Rufen Sie die Modelle auf, die Sie für Folgendes angeben möchten:
+ Ergebnisgenerierung mit der API-Aktion `RetrieveAndGenerate`.
+ Ergebnisse der Bewertung
Für den `Resource`-Schlüssel der Richtlinie müssen Sie mindestens einen ARN eines Modells angeben, auf das Sie Zugriff haben. Um ein Modell zu verwenden, das mit einem kundenseitig verwalteten KMS-Schlüssel verschlüsselt ist, müssen Sie die erforderlichen IAM-Aktionen und -Ressourcen zur IAM-Servicerollenrichtlinie hinzufügen. Sie müssen auch die Servicerolle zur AWS KMS Schlüsselrichtlinie hinzufügen.
1. Rufen Sie die API-Aktionen `Retrieve` und `RetrieveAndGenerate` auf. Beachten Sie, dass wir bei der automatisierten Rollenerstellung in der Konsole Berechtigungen für beide API-Aktionen `Retrieve` und `RetrieveAndGenerate` erteilen, unabhängig davon, welche Aktion Sie für diesen Auftrag bewerten möchten. Auf diese Weise bieten wir zusätzliche Flexibilität und Wiederverwendbarkeit für diese Rolle. Aus Sicherheitsgründen ist diese automatisch erstellte Rolle jedoch an eine einzige Wissensdatenbank-Instance gebunden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificModels",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:GetImportedModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*",
"arn:aws:bedrock:us-east-1:123456789012:inference-profile/*",
"arn:aws:bedrock:us-east-1:123456789012:provisioned-model/*",
"arn:aws:bedrock:us-east-1:123456789012:imported-model/*",
"arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/*"
]
},
{
"Sid": "AllowKnowledgeBaseAPis",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve",
"bedrock:RetrieveAndGenerate"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id"
]
}
]
}
```
------
**Anforderungen an den Service-Prinzipal**
Sie müssen auch eine Vertrauensrichtlinie angeben, die Amazon Bedrock als Service-Prinzipal definiert. Diese Richtlinie ermöglicht es Amazon Bedrock, die Rolle zu übernehmen. Der ARN für Modellevaluierungsjobs mit Platzhalter (`*`) ist erforderlich, damit Amazon Bedrock Modellevaluierungsaufträge in Ihrem AWS Konto erstellen kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
}
}
}
]
}
```
------