Exigences du rôle de service pour les tâches d’évaluation de base de connaissances - Amazon Bedrock

Exigences du rôle de service pour les tâches d’évaluation de base de connaissances

Pour créer une tâche d’évaluation de base de connaissances, vous devez spécifier un rôle de service. La politique que vous attachez au rôle accorde à Amazon Bedrock un accès aux ressources de votre compte et permet à Amazon Bedrock d’effectuer les tâches suivantes :

  • Invoquez les modèles que vous sélectionnez pour la génération de sortie à l’aide de l’action d’API RetrieveAndGenerate et évaluez les sorties de la base de connaissances.

  • Invoquez les actions d’API Retrieve et RetrieveAndGenerate des bases de connaissances Amazon Bedrock sur votre instance de base de connaissances.

Pour créer un rôle de service personnalisé, consultez Création d’un rôle à l’aide de politiques d’approbation personnalisées dans le Guide de l’utilisateur IAM.

Autorisations IAM requises pour un accès à Amazon S3

L’exemple de politique suivant autorise l’accès aux compartiments S3 dans lesquels les deux événements suivants se produisent :

  • Vous enregistrez les résultats de l’évaluation de votre base de connaissances.

  • Amazon Bedrock lit votre jeu de données d’entrée.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Sid": "AllowAccessToCustomDatasets",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_customdataset1_bucket",
                "arn:aws:s3:::my_customdataset1_bucket/myfolder",
                "arn:aws:s3:::my_customdataset2_bucket",
                "arn:aws:s3:::my_customdataset2_bucket/myfolder"
            ]
        },
        {
            "Sid": "AllowAccessToOutputBucket",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_output_bucket",
                "arn:aws:s3:::my_output_bucket/myfolder"
            ]
        }
    ]
}
Actions IAM Amazon Bedrock nécessaires

Vous devez également créer une politique qui permette à Amazon Bedrock d’effectuer les opérations suivantes :

  1. Invoquez les modèles que vous souhaitez spécifier pour les éléments suivants :

    • Génération de résultats à l’aide de l’action d’API RetrieveAndGenerate.

    • Évaluation des résultats.

    Pour la clé Resource de la politique, vous devez spécifier au moins un ARN d’un modèle auquel vous avez accès. Pour utiliser un modèle chiffré à l’aide d’une clé KMS gérée par le client, vous devez ajouter les actions et ressources IAM requises à la politique du rôle de service IAM. Vous devez également ajouter le rôle de service à la stratégie de clé AWS KMS.

  2. Appelez les actions d’API Retrieve et RetrieveAndGenerate. Notez que, lors de la création automatique des rôles dans la console, nous accordons des autorisations aux actions d’API Retrieve et RetrieveAndGenerate, quelle que soit l’action que vous choisissez d’évaluer pour cette tâche. Ce faisant, nous donnons plus de flexibilité et de réutilisabilité à ce rôle. Toutefois, pour plus de sécurité, ce rôle créé automatiquement est lié à une seule instance de base de connaissances.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSpecificModels",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:CreateModelInvocationJob",
                "bedrock:StopModelInvocationJob",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:GetInferenceProfile",
                "bedrock:GetImportedModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/*",
                "arn:aws:bedrock:us-east-1:123456789012:inference-profile/*",
                "arn:aws:bedrock:us-east-1:123456789012:provisioned-model/*",
                "arn:aws:bedrock:us-east-1:123456789012:imported-model/*",
                "arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/*"
            ]
        },
        {
            "Sid": "AllowKnowledgeBaseAPis",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id"
            ]
        }
    ]
}
Exigences de principal du service

Vous devez également spécifier une politique de confiance qui définisse Amazon Bedrock en tant que principal du service. Cette politique permet à Amazon Bedrock d’endosser le rôle. L’ARN générique (*) de tâche d’évaluation de modèle est nécessaire pour permettre à Amazon Bedrock de créer des tâches d’évaluation de modèle dans votre compte AWS.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowBedrockToAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
                }
            }
        }
    ]
}