Requisitos do perfil de serviço para trabalhos de avaliação de modelo realizados por humanos - Amazon Bedrock

Requisitos do perfil de serviço para trabalhos de avaliação de modelo realizados por humanos

Para criar um trabalho de avaliação de modelo com a participação de avaliadores humanos, é necessário especificar dois perfis de serviço.

As listas a seguir resumem os requisitos de política do IAM para cada perfil de serviço que precisa ser especificado no console do Amazon Bedrock.

Resumo dos requisitos de política do IAM para o perfil de serviço do Amazon Bedrock

  • Você deve anexar uma política de confiança que defina o Amazon Bedrock como entidade principal de serviço.

  • Você deve permitir que o Amazon Bedrock invoque os modelos selecionados em seu nome.

  • Você deve permitir que o Amazon Bedrock acesse o bucket do S3 que contém o conjunto de dados de prompts e o bucket do S3 onde você deseja que os resultados sejam salvos.

  • Permita que o Amazon Bedrock crie os recursos do grupo humano necessários em sua conta.

  • (Recomendado) Use um bloco de Condition para especificar as contas que podem ser acessadas.

  • (Opcional) Permita que o Amazon Bedrock descriptografe a chave do KMS, caso tenha criptografado o bucket do conjunto de dados de prompts ou o bucket do Amazon S3 em que deseja que os resultados sejam salvos.

Resumo dos requisitos de política do IAM para o perfil de serviço do Amazon SageMaker AI

  • Você deve anexar uma política de confiança que defina o SageMaker AI como entidade principal de serviço.

  • Você deve permitir que o SageMaker AI acesse o bucket do S3 que contém o conjunto de dados de prompts e o bucket do S3 onde você deseja que os resultados sejam salvos.

  • (Opcional) Você deve permitir que o SageMaker AI use as chaves gerenciadas pelo cliente, caso tenha criptografado o bucket do conjunto de dados de prompts ou o local em que deseja obter os resultados.

Para criar um perfil de serviço personalizado, consulte Criar uma função usando políticas de confiança personalizadas no Guia do usuário do IAM.

Ações do IAM exigidas pelo Amazon S3

O exemplo de política a seguir concede acesso aos buckets do S3 em que os resultados da avaliação de modelo são salvos e acesso ao conjunto de dados de prompts personalizado que você especificou. Você precisa anexar essa política ao perfil de serviço do SageMaker AI e ao perfil de serviço do Amazon Bedrock.

JSON
{
"Version":"2012-10-17",		 	 	 
"Statement": [
    {
        "Sid": "AllowAccessToCustomDatasets",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::custom-prompt-dataset"
        ]
    },
    {
        "Sid": "AllowAccessToOutputBucket",
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:ListBucket",
            "s3:PutObject",
            "s3:GetBucketLocation",
            "s3:AbortMultipartUpload",
            "s3:ListBucketMultipartUploads"
        ],
        "Resource": [
            "arn:aws:s3:::model_evaluation_job_output"
        ]
    }
]
}
Ações do IAM necessária para o Amazon Bedrock

Para permitir que o Amazon Bedrock invoque o modelo que você planeja especificar no trabalho de avaliação de modelo automática, anexe a política a seguir ao perfil de serviço do Amazon Bedrock. Na seção "Resource" da política, especifique também pelo menos um ARN de um modelo ao qual você tem acesso. Para usar um modelo criptografado com uma chave do KMS gerenciada pelo cliente, adicione as ações e os recursos necessários do IAM ao perfil de serviço do IAM. Adicione também todos os elementos necessários da política de chave do AWS KMS.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAccessToBedrockResources",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:CreateModelInvocationJob",
                "bedrock:StopModelInvocationJob",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:GetInferenceProfile", 
                "bedrock:ListInferenceProfiles",
                "bedrock:GetImportedModel",
                "bedrock:GetPromptRouter",
                "sagemaker:InvokeEndpoint"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/*",
                "arn:aws:bedrock:*:111122223333:inference-profile/*",
                "arn:aws:bedrock:*:111122223333:provisioned-model/*",
                "arn:aws:bedrock:*:111122223333:imported-model/*",
                "arn:aws:bedrock:*:111122223333:application-inference-profile/*",
                "arn:aws:bedrock:*:111122223333:default-prompt-router/*",
                "arn:aws:sagemaker:*:111122223333:endpoint/*",
                "arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
            ]
        }
    ]
}
Ações do IAM necessárias para o Amazon Augmented AI

Também é necessário criar uma política que permita que o Amazon Bedrock crie recursos relacionados aos trabalhos de avaliação de modelo realizados por humanos. Como o Amazon Bedrock cria os recursos necessários para iniciar o trabalho de avaliação de modelo, você deve usar "Resource": "*". Anexe essa política ao perfil de serviço do Amazon Bedrock.

JSON
{
"Version":"2012-10-17",		 	 	 
"Statement": [
    {
        "Sid": "ManageHumanLoops",
        "Effect": "Allow",
        "Action": [
            "sagemaker:StartHumanLoop",
            "sagemaker:DescribeFlowDefinition",
            "sagemaker:DescribeHumanLoop",
            "sagemaker:StopHumanLoop",
            "sagemaker:DeleteHumanLoop"
        ],
        "Resource": "*"
    }
]
}
Requisitos para entidade principal do serviço (Amazon Bedrock)

Você também deve especificar uma política de confiança que defina o Amazon Bedrock como entidade principal de serviço. Isso permite que o Amazon Bedrock assuma o perfil.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowBedrockToAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:evaluation-job/*"
                }
            }
        }
    ]
}
Requisitos para entidade principal de serviço (SageMaker AI)

Especifique também uma política de confiança que defina o Amazon Bedrock como a entidade principal de serviço. Isso permite que o SageMaker AI assuma o perfil.

JSON
{
"Version":"2012-10-17",		 	 	 
"Statement": [
{
  "Sid": "AllowSageMakerToAssumeRole",
  "Effect": "Allow",
  "Principal": {
    "Service": "sagemaker.amazonaws.com"
  },
  "Action": "sts:AssumeRole"
}
]
}