Permissões de perfil de serviço necessárias para criar um trabalho de avaliação de modelo que utiliza um modelo avaliador - Amazon Bedrock
Ações do IAM necessária para o Amazon BedrockAções e recursos do IAM exigidos pelo Amazon S3

Permissões de perfil de serviço necessárias para criar um trabalho de avaliação de modelo que utiliza um modelo avaliador

Para criar um trabalho de avaliação de modelo que um LLM como avaliador, é necessário especificar um perfil de serviço. A política anexada concede ao Amazon Bedrock acesso aos recursos em sua conta e permite que o Amazon Bedrock invoque o modelo selecionado em seu nome.

A política de confiança define o Amazon Bedrock como entidade principal de serviço usando bedrock.amazonaws.com. Cada um dos exemplos de política a seguir mostra as ações do IAM exatas que são necessárias com base em cada serviço invocado em um trabalho de avaliação de modelo.

Para criar um perfil de serviço como descrito a seguir, consulte Criar um perfil usando políticas de confiança personalizadas no Guia do usuário do IAM.

Ações do IAM necessária para o Amazon Bedrock

É necessário criar uma política que permita que o Amazon Bedrock invoque os modelos que você planeja especificar no trabalho de avaliação de modelo. Para saber mais sobre como gerenciar o acesso aos modelos do Amazon Bedrock, consulte Acessar modelos de base do Amazon Bedrock. Na seção "Resource" da política, especifique também pelo menos um ARN de um modelo ao qual você tem acesso. Para usar um modelo criptografado com uma chave do KMS gerenciada pelo cliente, adicione as ações e os recursos necessários do IAM à política de perfil de serviço do IAM. Adicione também o perfil de serviço à política de chave do AWS KMS.

O perfil de serviço deve incluir acesso a pelo menos um modelo de avaliador compatível. Para ver uma lista dos modelos de avaliadores compatíveis no momento, consulte Modelos compatíveis.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "BedrockModelInvoke",
			"Effect": "Allow",
			"Action": [
				"bedrock:InvokeModel",
				"bedrock:CreateModelInvocationJob",
				"bedrock:StopModelInvocationJob"
			],
			"Resource": [
				"arn:aws:bedrock:us-east-1::foundation-model/*",
				"arn:aws:bedrock:us-east-1:111122223333:inference-profile/*",
				"arn:aws:bedrock:us-east-1:111122223333:provisioned-model/*",
				"arn:aws:bedrock:us-east-1:111122223333:imported-model/*"
			]
		}
	]
}

Ações e recursos do IAM exigidos pelo Amazon S3

Sua política de perfil de serviço precisa incluir acesso ao bucket do Amazon S3 em que você deseja salvar a saída dos trabalhos de avaliação de modelo e acesso ao conjunto de dados de prompts que especificado na solicitação CreateEvaluationJob ou por meio do console do Amazon Bedrock.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "FetchAndUpdateOutputBucket",
			"Effect": "Allow",
			"Action": [
				"s3:GetObject",
				"s3:ListBucket",
				"s3:PutObject",
				"s3:GetBucketLocation",
				"s3:AbortMultipartUpload",
				"s3:ListBucketMultipartUploads"
			],
			"Resource": [
				"arn:aws:s3:::my_customdataset1_bucket",
	            "arn:aws:s3:::my_customdataset1_bucket/myfolder",
	            "arn:aws:s3:::my_customdataset2_bucket",
				"arn:aws:s3:::my_customdataset2_bucket/myfolder"
			]
		}
	]
}