Requisiti del ruolo di servizio per i processi di valutazione umana del modello - Amazon Bedrock

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Requisiti del ruolo di servizio per i processi di valutazione umana del modello

Per creare un processo di valutazione del modello che utilizza valutatori umani, è necessario specificare un ruolo di servizio.

I seguenti elenchi riepilogano i requisiti delle policy IAM per ogni ruolo di servizio richiesto che deve essere specificato nella console Amazon Bedrock.

Riepilogo dei requisiti delle policy IAM per il ruolo di servizio Amazon Bedrock

  • Devi inoltre allegare una policy di attendibilità che definisca Amazon Bedrock come principale del servizio.

  • Devi consentire ad Amazon Bedrock di richiamare i modelli selezionati per tuo conto.

  • Devi consentire ad Amazon Bedrock di accedere al bucket S3 che contiene il tuo set di dati dei prompt e al bucket S3 in cui desideri salvare i risultati.

  • Devi consentire ad Amazon Bedrock di creare le risorse del ciclo umano necessarie nel tuo account.

  • (Consigliato) Utilizza un blocco Condition per specificare gli account a cui possono accedere.

  • (Facoltativo) Devi consentire ad Amazon Bedrock di decrittare la tua chiave KMS se hai crittografato il bucket del set di dati dei prompt o il bucket Amazon S3 in cui desideri salvare i risultati.

Riepilogo dei requisiti delle policy IAM per il ruolo del servizio Amazon SageMaker AI

  • È necessario allegare una politica di fiducia che definisca l' SageMaker IA come principale del servizio.

  • Devi consentire all' SageMaker IA di accedere al bucket S3 che contiene il set di dati prompt e al bucket S3 in cui desideri salvare i risultati.

  • (Facoltativo) Devi consentire all' SageMaker IA di utilizzare le chiavi gestite dai clienti se hai crittografato il bucket del set di dati prompt o la posizione in cui volevi ottenere i risultati.

Per creare un ruolo di servizio personalizzato, consulta Creazione di un ruolo utilizzando policy di attendibilità personalizzate (console) nella Guida per l’utente IAM.

Operazioni IAM Amazon S3 necessarie

Il seguente esempio di policy concede l'accesso ai bucket S3 in cui vengono salvati i risultati della valutazione del modello e l'accesso al set di dati dei prompt personalizzato che hai specificato. È necessario collegare questa policy sia al ruolo di servizio SageMaker AI che al ruolo di servizio Amazon Bedrock.

JSON
{
"Version":"2012-10-17",		 	 	 
"Statement": [
    {
        "Sid": "AllowAccessToCustomDatasets",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::custom-prompt-dataset"
        ]
    },
    {
        "Sid": "AllowAccessToOutputBucket",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetBucketLocation",
            "s3:AbortMultipartUpload",
            "s3:ListBucketMultipartUploads"
        ],
        "Resource": [
            "arn:aws:s3:::model_evaluation_job_output"
        ]
    }
]
}
Operazioni IAM Amazon Bedrock necessarie

Per consentire ad Amazon Bedrock di invocare il modello che intendi specificare nel processo di valutazione del modello automatica, associa al ruolo di servizio Amazon Bedrock la policy indicata di seguito. Nella sezione "Resource" della policy, devi specificare almeno un ARN di un modello a cui anche tu hai accesso. Per utilizzare un modello crittografato con una chiave CMK KMS, devi aggiungere le azioni e le risorse IAM richieste al ruolo di servizio IAM. È inoltre necessario aggiungere tutti gli elementi AWS KMS chiave della policy richiesti.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAccessToBedrockResources",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:CreateModelInvocationJob",
                "bedrock:StopModelInvocationJob",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:GetInferenceProfile", 
                "bedrock:ListInferenceProfiles",
                "bedrock:GetImportedModel",
                "bedrock:GetPromptRouter",
                "sagemaker:InvokeEndpoint"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/*",
                "arn:aws:bedrock:*:111122223333:inference-profile/*",
                "arn:aws:bedrock:*:111122223333:provisioned-model/*",
                "arn:aws:bedrock:*:111122223333:imported-model/*",
                "arn:aws:bedrock:*:111122223333:application-inference-profile/*",
                "arn:aws:bedrock:*:111122223333:default-prompt-router/*",
                "arn:aws:sagemaker:*:111122223333:endpoint/*",
                "arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
            ]
        }
    ]
}
Operazioni di IA aumentata Amazon necessarie

Devi inoltre creare una policy che consenta ad Amazon Bedrock di creare risorse relative ai processi di valutazione umana del modello. Poiché Amazon Bedrock crea le risorse necessarie per avviare il processo di valutazione del modello, è necessario utilizzare "Resource": "*". Devi allegare questa policy al ruolo di servizio Amazon Bedrock.

JSON
{
"Version":"2012-10-17",		 	 	 
"Statement": [
    {
        "Sid": "ManageHumanLoops",
        "Effect": "Allow",
        "Action": [
            "sagemaker:StartHumanLoop",
            "sagemaker:DescribeFlowDefinition",
            "sagemaker:DescribeHumanLoop",
            "sagemaker:StopHumanLoop",
            "sagemaker:DeleteHumanLoop"
        ],
        "Resource": "*"
    }
]
}
Requisiti principali del servizio (Amazon Bedrock)

È inoltre necessario allegare una policy di attendibilità che definisca Amazon Bedrock come principale del servizio. Ciò consente ad Amazon Bedrock di assumere il ruolo.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowBedrockToAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:evaluation-job/*"
                }
            }
        }
    ]
}
Requisiti principali del servizio (SageMaker AI)

È inoltre necessario collegare una policy di attendibilità che definisca Amazon Bedrock come principale del servizio. Ciò consente all' SageMaker IA di assumere il ruolo.

JSON
{
"Version":"2012-10-17",		 	 	 
"Statement": [
{
  "Sid": "AllowSageMakerToAssumeRole",
  "Effect": "Allow",
  "Principal": {
    "Service": "sagemaker.amazonaws.com"
  },
  "Action": "sts:AssumeRole"
}
]
}