Requisiti del ruolo di servizio per i processi di valutazione della knowledge base - Amazon Bedrock

Requisiti del ruolo di servizio per i processi di valutazione della knowledge base

Per creare un processo di valutazione della knowledge base, è necessario specificare un ruolo di servizio. La policy che si collega al ruolo concede ad Amazon Bedrock l’accesso alle risorse nell’account e consente ad Amazon Bedrock di eseguire le seguenti operazioni:

  • Invocare i modelli selezionati per la generazione dell’output con l’azione API RetrieveAndGenerate e valutare gli output della knowledge base.

  • Invocare le azioni API Retrieve e RetrieveAndGenerate di Knowledge Base per Amazon Bedrock sull’istanza della knowledge base.

Per creare un ruolo di servizio personalizzato, consulta Creazione di un ruolo utilizzando policy di attendibilità personalizzate nella Guida per l’utente IAM.

Azioni IAM obbligatorie per l’accesso ad Amazon S3

La seguente policy di esempio concede l’accesso ai bucket S3 in cui si verificano entrambe le seguenti condizioni:

  • I risultati della valutazione della knowledge base vengono salvati.

  • Amazon Bedrock legge il set di dati di input.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Sid": "AllowAccessToCustomDatasets",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_customdataset1_bucket",
                "arn:aws:s3:::my_customdataset1_bucket/myfolder",
                "arn:aws:s3:::my_customdataset2_bucket",
                "arn:aws:s3:::my_customdataset2_bucket/myfolder"
            ]
        },
        {
            "Sid": "AllowAccessToOutputBucket",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_output_bucket",
                "arn:aws:s3:::my_output_bucket/myfolder"
            ]
        }
    ]
}
Operazioni IAM Amazon Bedrock necessarie

È inoltre necessario creare una policy che consenta ad Amazon Bedrock di effettuare le seguenti operazioni:

  1. Invocare i modelli che si intende specificare per quanto segue:

    • Generazione dei risultati con l’azione API RetrieveAndGenerate.

    • Valutazione dei risultati.

    Per la chiave Resource nella policy, devi specificare almeno un ARN di un modello a cui hai accesso. Per utilizzare un modello crittografato con una chiave KMS gestita dal cliente, è necessario aggiungere le azioni e le risorse IAM richieste alla policy del ruolo di servizio IAM. Devi inoltre aggiungere il ruolo di servizio alla policy della chiave AWS KMS.

  2. Chiamare le azioni API Retrieve e RetrieveAndGenerate. Si noti che, nella creazione automatica dei ruoli nella console, concediamo autorizzazioni a entrambe le azioni API Retrieve e RetrieveAndGenerate, a prescindere dall’azione scelta per valutare tale processo. In questo modo, si garantisce una maggiore flessibilità e riutilizzabilità per tale ruolo. Tuttavia, per maggiore sicurezza, tale ruolo creato automaticamente è collegato a una singola istanza della knowledge base.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSpecificModels",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:CreateModelInvocationJob",
                "bedrock:StopModelInvocationJob",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:GetInferenceProfile",
                "bedrock:GetImportedModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/*",
                "arn:aws:bedrock:us-east-1:123456789012:inference-profile/*",
                "arn:aws:bedrock:us-east-1:123456789012:provisioned-model/*",
                "arn:aws:bedrock:us-east-1:123456789012:imported-model/*",
                "arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/*"
            ]
        },
        {
            "Sid": "AllowKnowledgeBaseAPis",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id"
            ]
        }
    ]
}
Requisiti principali del servizio

È inoltre necessario allegare una policy di attendibilità che definisca Amazon Bedrock come principale del servizio. Questa policy consente ad Amazon Bedrock di assumere il ruolo. L'ARN del processo di valutazione del modello carattere jolly (*) è necessario per consentire ad Amazon Bedrock di creare processi di valutazione del modello nel tuo account AWS.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowBedrockToAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
                }
            }
        }
    ]
}