Requisitos del rol de servicio para los trabajos de evaluación de bases de conocimiento - Amazon Bedrock

Requisitos del rol de servicio para los trabajos de evaluación de bases de conocimiento

Para crear un trabajo de evaluación de bases de conocimiento, debe especificar un rol de servicio. La política que asocie al rol otorga a Amazon Bedrock acceso a los recursos de su cuenta y permite a Amazon Bedrock hacer lo siguiente:

  • Invocar los modelos que seleccione para la generación de resultados con la acción de la API RetrieveAndGenerate y evaluar los resultados de la base de conocimiento

  • Invocar las acciones de la API Retrieve y RetrieveAndGenerate de Bases de conocimiento de Amazon Bedrock en su instancia de base de conocimiento

Para crear un rol de servicio personalizado, consulte Creación de un rol que utilice políticas de confianza personalizadas en la Guía del usuario de IAM.

Acciones de IAM necesarias para el acceso a Amazon S3

El siguiente ejemplo de política otorga acceso a los buckets de S3 cuando se producen las dos siguientes condiciones:

  • Guarda los resultados de la evaluación de la base de conocimiento.

  • Amazon Bedrock lee el conjunto de datos de entrada.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Sid": "AllowAccessToCustomDatasets",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_customdataset1_bucket",
                "arn:aws:s3:::my_customdataset1_bucket/myfolder",
                "arn:aws:s3:::my_customdataset2_bucket",
                "arn:aws:s3:::my_customdataset2_bucket/myfolder"
            ]
        },
        {
            "Sid": "AllowAccessToOutputBucket",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_output_bucket",
                "arn:aws:s3:::my_output_bucket/myfolder"
            ]
        }
    ]
}
Acciones de IAM de Amazon Bedrock obligatorias

También debe crear una política que permita a Amazon Bedrock hacer lo siguiente:

  1. Invocar los modelos que quiere especificar para lo siguiente:

    • Generación de resultados con la acción de la API RetrieveAndGenerate

    • Resultados de la evaluación

    Para la clave de Resource de la política, debe especificar al menos un ARN de un modelo al que tenga acceso. Para utilizar un modelo cifrado con una clave de KMS administrada por el cliente, debe añadir las acciones y los recursos de IAM necesarios a la política de roles de servicio de IAM. También debe añadir el rol de servicio a la política de claves de AWS KMS.

  2. Llamar a las acciones de la API Retrieve y RetrieveAndGenerate. Tenga en cuenta que, en la creación automática de roles en la consola, concedemos permisos a las acciones de la API Retrieve y RetrieveAndGenerate, independientemente de la acción que elija evaluar para ese trabajo. De este modo, ofrecemos flexibilidad y capacidad de reutilización adicionales para ese rol. Sin embargo, para mayor seguridad, ese rol creado automáticamente está vinculado a una única instancia de la base de conocimiento.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSpecificModels",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:CreateModelInvocationJob",
                "bedrock:StopModelInvocationJob",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:GetInferenceProfile",
                "bedrock:GetImportedModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/*",
                "arn:aws:bedrock:us-east-1:123456789012:inference-profile/*",
                "arn:aws:bedrock:us-east-1:123456789012:provisioned-model/*",
                "arn:aws:bedrock:us-east-1:123456789012:imported-model/*",
                "arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/*"
            ]
        },
        {
            "Sid": "AllowKnowledgeBaseAPis",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id"
            ]
        }
    ]
}
Requisitos de la entidad principal de servicio

También debe especificar una política de confianza que defina a Amazon Bedrock como la entidad principal de servicio. Esta política permite que Amazon Bedrock asuma el rol. El ARN comodín del trabajo de evaluación de modelos (*) es obligatorio para que Amazon Bedrock pueda crear trabajos de evaluación de modelos en su cuenta de AWS.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowBedrockToAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
                }
            }
        }
    ]
}