Anforderungen an die Servicerolle für Aufträge zur Bewertung von Wissensdatenbanken - Amazon Bedrock

Anforderungen an die Servicerolle für Aufträge zur Bewertung von Wissensdatenbanken

Geben Sie eine Servicerolle an, um einen Auftrag zur Bewertung einer Wissensdatenbank zu erstellen. Die Richtlinie, die Sie mit der Rolle verknüpfen, gewährt Amazon Bedrock Zugriff auf Ressourcen in Ihrem Konto und ermöglicht Amazon Bedrock Folgendes:

  • Rufen Sie die Modelle auf, die Sie für die Ausgabegenerierung mit der RetrieveAndGenerate-API-Aktion auswählen, und bewerten Sie die Ausgaben der Wissensdatenbank.

  • Rufen Sie die API-Aktionen Retrieve und RetrieveAndGenerate von Wissensdatenbanken für Amazon Bedrock auf Ihrer Wissensdatenbank-Instance auf.

Informationen zum Erstellen einer benutzerdefinierten Servicerolle finden Sie unter Erstellen einer Rolle, die benutzerdefinierte Vertrauensrichtlinien verwendet im IAM-Benutzerhandbuch.

Erforderliche IAM-Aktionen für den Amazon-S3-Zugriff

Die folgende Beispielrichtlinie gewährt Zugriff auf die S3-Buckets, in denen beide der folgenden Ereignisse auftreten:

  • Sie speichern die Ergebnisse Ihrer Wissensdatenbankbewertung.

  • Amazon Bedrock liest Ihren Eingabedatensatz.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Sid": "AllowAccessToCustomDatasets",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_customdataset1_bucket",
                "arn:aws:s3:::my_customdataset1_bucket/myfolder",
                "arn:aws:s3:::my_customdataset2_bucket",
                "arn:aws:s3:::my_customdataset2_bucket/myfolder"
            ]
        },
        {
            "Sid": "AllowAccessToOutputBucket",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_output_bucket",
                "arn:aws:s3:::my_output_bucket/myfolder"
            ]
        }
    ]
}
Erforderliche IAM-Aktionen in Amazon Bedrock

Sie müssen auch eine Richtlinie erstellen, die Amazon Bedrock Folgendes ermöglicht:

  1. Rufen Sie die Modelle auf, die Sie für Folgendes angeben möchten:

    • Ergebnisgenerierung mit der API-Aktion RetrieveAndGenerate.

    • Ergebnisse der Bewertung

    Für den Resource-Schlüssel der Richtlinie müssen Sie mindestens einen ARN eines Modells angeben, auf das Sie Zugriff haben. Um ein Modell zu verwenden, das mit einem kundenseitig verwalteten KMS-Schlüssel verschlüsselt ist, müssen Sie die erforderlichen IAM-Aktionen und -Ressourcen zur IAM-Servicerollenrichtlinie hinzufügen. Zudem müssen Sie die Servicerolle zur AWS KMS-Schlüsselrichtlinie hinzufügen.

  2. Rufen Sie die API-Aktionen Retrieve und RetrieveAndGenerate auf. Beachten Sie, dass wir bei der automatisierten Rollenerstellung in der Konsole Berechtigungen für beide API-Aktionen Retrieve und RetrieveAndGenerate erteilen, unabhängig davon, welche Aktion Sie für diesen Auftrag bewerten möchten. Auf diese Weise bieten wir zusätzliche Flexibilität und Wiederverwendbarkeit für diese Rolle. Aus Sicherheitsgründen ist diese automatisch erstellte Rolle jedoch an eine einzige Wissensdatenbank-Instance gebunden.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSpecificModels",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:CreateModelInvocationJob",
                "bedrock:StopModelInvocationJob",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:GetInferenceProfile",
                "bedrock:GetImportedModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/*",
                "arn:aws:bedrock:us-east-1:123456789012:inference-profile/*",
                "arn:aws:bedrock:us-east-1:123456789012:provisioned-model/*",
                "arn:aws:bedrock:us-east-1:123456789012:imported-model/*",
                "arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/*"
            ]
        },
        {
            "Sid": "AllowKnowledgeBaseAPis",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id"
            ]
        }
    ]
}
Anforderungen an den Service-Prinzipal

Sie müssen auch eine Vertrauensrichtlinie angeben, die Amazon Bedrock als Service-Prinzipal definiert. Diese Richtlinie ermöglicht es Amazon Bedrock, die Rolle zu übernehmen. Der ARN für den Auftrag zur Modellbewertung mit Platzhalter (*) ist erforderlich, damit Amazon Bedrock Aufträge zur Modellbewertung in Ihrem AWS-Konto erstellen kann.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowBedrockToAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
                }
            }
        }
    ]
}