Autorisations de rôle de service requises pour créer une tâche d’évaluation des modèles faisant appel à un modèle d’évaluation - Amazon Bedrock
Actions IAM Amazon Bedrock nécessairesActions et ressources IAM Amazon S3 nécessaires

Autorisations de rôle de service requises pour créer une tâche d’évaluation des modèles faisant appel à un modèle d’évaluation

Pour créer une tâche d’évaluation de modèles qui utilise un LLM-juge, vous devez spécifier un rôle de service. La politique que vous attachez accorde à Amazon Bedrock un accès aux ressources de votre compte et permet à Amazon Bedrock d’invoquer le modèle sélectionné en votre nom.

La politique de confiance définit Amazon Bedrock en tant que principal du service à l’aide de bedrock.amazonaws.com. Chacun des exemples de politique suivants montre les actions IAM exactes qui sont nécessaires en fonction du service invoqué dans le cadre d’une tâche d’évaluation de modèles

Pour créer un rôle de service personnalisé comme décrit ci-dessous, consultez Création d’un rôle à l’aide de politiques d’approbation personnalisées dans le Guide de l’utilisateur IAM.

Actions IAM Amazon Bedrock nécessaires

Vous devez créer une politique qui permette à Amazon Bedrock d’invoquer les modèles que vous prévoyez de spécifier dans la tâche d’évaluation de modèles. Pour en savoir plus sur la gestion de l’accès aux modèles Amazon Bedrock, consultez Accès aux modèles de fondation Amazon Bedrock. Dans la section "Resource" de la politique, vous devez spécifier au moins un ARN d’un modèle auquel vous avez également accès. Pour utiliser un modèle chiffré avec une clé KMS gérée par le client, vous devez ajouter les actions et ressources IAM requises à la politique du rôle de service IAM. Vous devez également ajouter le rôle de service à la stratégie de clé AWS KMS.

Le rôle de service doit inclure l’accès à au moins un modèle évaluateur pris en charge. Pour obtenir la liste des modèles évaluateurs actuellement pris en charge, consultez Modèles pris en charge.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "BedrockModelInvoke",
			"Effect": "Allow",
			"Action": [
				"bedrock:InvokeModel",
				"bedrock:CreateModelInvocationJob",
				"bedrock:StopModelInvocationJob"
			],
			"Resource": [
				"arn:aws:bedrock:us-east-1::foundation-model/*",
				"arn:aws:bedrock:us-east-1:111122223333:inference-profile/*",
				"arn:aws:bedrock:us-east-1:111122223333:provisioned-model/*",
				"arn:aws:bedrock:us-east-1:111122223333:imported-model/*"
			]
		}
	]
}

Actions et ressources IAM Amazon S3 nécessaires

Votre politique en matière de rôle de service doit inclure l’accès au compartiment Amazon S3 dans lequel vous souhaitez enregistrer les résultats des tâches d’évaluation de modèles, ainsi que l’accès au jeu de données d’invite que vous avez spécifié dans votre demande CreateEvaluationJob ou via la console Amazon Bedrock.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "FetchAndUpdateOutputBucket",
			"Effect": "Allow",
			"Action": [
				"s3:GetObject",
				"s3:ListBucket",
				"s3:PutObject",
				"s3:GetBucketLocation",
				"s3:AbortMultipartUpload",
				"s3:ListBucketMultipartUploads"
			],
			"Resource": [
				"arn:aws:s3:::my_customdataset1_bucket",
	            "arn:aws:s3:::my_customdataset1_bucket/myfolder",
	            "arn:aws:s3:::my_customdataset2_bucket",
				"arn:aws:s3:::my_customdataset2_bucket/myfolder"
			]
		}
	]
}