As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Requisitos de perfil de serviço para trabalhos de avaliação de modelo
Para criar um trabalho de avaliação de modelo, é necessário especificar um perfil de serviço. O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para obter mais informações, consulte [Criação de um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
As ações e os recursos necessários do IAM dependem do tipo de trabalho de avaliação de modelo que você está criando. Use as seções a seguir para saber mais sobre as ações, as entidades principais de serviço e os recursos do IAM necessários para o Amazon Bedrock, o Amazon SageMaker AI e o Amazon S3. Se preferir, você poderá optar por criptografar seus dados usando o AWS Key Management Service.
**Topics**
+ [Requisitos do perfil de serviço para trabalhos automáticos de avaliação de modelo](automatic-service-roles.md)
+ [Requisitos do perfil de serviço para trabalhos de avaliação de modelo realizados por humanos](model-eval-service-roles.md)
+ [Permissões de perfil de serviço necessárias para criar um trabalho de avaliação de modelo que utiliza um modelo avaliador](judge-service-roles.md)
+ [Requisitos de perfil de serviço para trabalhos de avaliação de bases de conhecimento](rag-eval-service-roles.md)
# Requisitos do perfil de serviço para trabalhos automáticos de avaliação de modelo
Para criar um trabalho automático de avaliação de modelo, é necessário especificar um perfil de serviço. A política anexada concede ao Amazon Bedrock acesso aos recursos em sua conta e permite que o Amazon Bedrock invoque o modelo selecionado em seu nome.
Você também deve anexar uma política de confiança que defina o Amazon Bedrock como entidade principal de serviço usando `bedrock.amazonaws.com`. Cada um dos exemplos de política a seguir mostra as ações do IAM exatas que são necessárias com base em cada serviço invocado em um trabalho automático de avaliação de modelo.
Para criar um perfil de serviço personalizado, consulte [Criar uma função usando políticas de confiança personalizadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) no *Guia do usuário do IAM*.
**Ações do IAM exigidas pelo Amazon S3**
O exemplo de política a seguir concede acesso aos buckets do S3 em que os resultados da avaliação do modelo são salvos e (opcionalmente) acesso a todos os conjuntos de dados de prompts personalizados que você especificou.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my_output_bucket",
"arn:aws:s3:::my_output_bucket/myfolder"
]
}
]
}
```
------
**Ações do IAM exigidas pelo Amazon Bedrock**
Também é necessário criar uma política que permita que o Amazon Bedrock invoque o modelo que você planeja especificar no trabalho automático de avaliação de modelo. Para saber mais sobre como gerenciar o acesso aos modelos do Amazon Bedrock, consulte [Acessar modelos de base do Amazon Bedrock](model-access.md). Na seção `"Resource"` da política, especifique também pelo menos um ARN de um modelo ao qual você tem acesso. Para usar um modelo criptografado com uma chave do KMS gerenciada pelo cliente, adicione as ações e os recursos necessários do IAM à política de perfil de serviço do IAM. Você também deve adicionar a função de serviço à política de AWS KMS chaves.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToBedrockResources",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:ListInferenceProfiles",
"bedrock:GetImportedModel",
"bedrock:GetPromptRouter",
"sagemaker:InvokeEndpoint"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*",
"arn:aws:bedrock:*:111122223333:inference-profile/*",
"arn:aws:bedrock:*:111122223333:provisioned-model/*",
"arn:aws:bedrock:*:111122223333:imported-model/*",
"arn:aws:bedrock:*:111122223333:application-inference-profile/*",
"arn:aws:bedrock:*:111122223333:default-prompt-router/*",
"arn:aws:sagemaker:*:111122223333:endpoint/*",
"arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
]
}
]
}
```
------
**Requisitos da entidade principal de serviço**
Especifique também uma política de confiança que defina o Amazon Bedrock como a entidade principal de serviço. Isso permite que o Amazon Bedrock assuma o perfil. O ARN do trabalho de avaliação de modelo curinga (`*`) é necessário para que o Amazon Bedrock possa criar trabalhos de avaliação de modelo em sua conta. AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:evaluation-job/*"
}
}
}]
}
```
------
# Requisitos do perfil de serviço para trabalhos de avaliação de modelo realizados por humanos
Para criar um trabalho de avaliação de modelo com a participação de avaliadores humanos, é necessário especificar dois perfis de serviço.
As listas a seguir resumem os requisitos de política do IAM para cada perfil de serviço que precisa ser especificado no console do Amazon Bedrock.
**Resumo dos requisitos de política do IAM para o perfil de serviço do Amazon Bedrock**
+ Você deve anexar uma política de confiança que defina o Amazon Bedrock como entidade principal de serviço.
+ Você deve permitir que o Amazon Bedrock invoque os modelos selecionados em seu nome.
+ Você deve permitir que o Amazon Bedrock acesse o bucket do S3 que contém o conjunto de dados de prompts e o bucket do S3 onde você deseja que os resultados sejam salvos.
+ Permita que o Amazon Bedrock crie os recursos do grupo humano necessários em sua conta.
+ (Recomendado) Use um *bloco* de `Condition` para especificar as contas que podem ser acessadas.
+ (Opcional) Permita que o Amazon Bedrock descriptografe a chave do KMS, caso tenha criptografado o bucket do conjunto de dados de prompts ou o bucket do Amazon S3 em que deseja que os resultados sejam salvos.
**Resumo dos requisitos da política do IAM para a função de serviço Amazon SageMaker AI**
+ Você deve anexar uma política de confiança que defina a SageMaker IA como principal do serviço.
+ Você deve permitir que a SageMaker IA acesse o bucket do S3 que contém seu conjunto de dados de prompt e o bucket do S3 onde você deseja que os resultados sejam salvos.
+ (Opcional) Você deve permitir que a SageMaker IA use suas chaves gerenciadas pelo cliente se tiver criptografado seu bucket de conjunto de dados imediato ou o local em que deseja obter os resultados.
Para criar um perfil de serviço personalizado, consulte [Criar uma função usando políticas de confiança personalizadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) no *Guia do usuário do IAM*.
**Ações do IAM exigidas pelo Amazon S3**
O exemplo de política a seguir concede acesso aos buckets do S3 em que os resultados da avaliação de modelo são salvos e acesso ao conjunto de dados de prompts personalizado que você especificou. Você precisa vincular essa política à função de serviço de SageMaker IA e à função de serviço Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::custom-prompt-dataset"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::model_evaluation_job_output"
]
}
]
}
```
------
**Ações do IAM necessária para o Amazon Bedrock**
Para permitir que o Amazon Bedrock invoque o modelo que você planeja especificar no trabalho de avaliação de modelo automática, anexe a política a seguir ao perfil de serviço do Amazon Bedrock. Na seção `"Resource"` da política, especifique também pelo menos um ARN de um modelo ao qual você tem acesso. Para usar um modelo criptografado com uma chave do KMS gerenciada pelo cliente, adicione as ações e os recursos necessários do IAM ao perfil de serviço do IAM. Você também deve adicionar quaisquer AWS KMS elementos-chave de política necessários.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToBedrockResources",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:ListInferenceProfiles",
"bedrock:GetImportedModel",
"bedrock:GetPromptRouter",
"sagemaker:InvokeEndpoint"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*",
"arn:aws:bedrock:*:111122223333:inference-profile/*",
"arn:aws:bedrock:*:111122223333:provisioned-model/*",
"arn:aws:bedrock:*:111122223333:imported-model/*",
"arn:aws:bedrock:*:111122223333:application-inference-profile/*",
"arn:aws:bedrock:*:111122223333:default-prompt-router/*",
"arn:aws:sagemaker:*:111122223333:endpoint/*",
"arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
]
}
]
}
```
------
**Ações do IAM necessárias para o Amazon Augmented AI**
Também é necessário criar uma política que permita que o Amazon Bedrock crie recursos relacionados aos trabalhos de avaliação de modelo realizados por humanos. Como o Amazon Bedrock cria os recursos necessários para iniciar o trabalho de avaliação de modelo, você deve usar `"Resource": "*"`. Anexe essa política ao perfil de serviço do Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageHumanLoops",
"Effect": "Allow",
"Action": [
"sagemaker:StartHumanLoop",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:StopHumanLoop",
"sagemaker:DeleteHumanLoop"
],
"Resource": "*"
}
]
}
```
------
**Requisitos para entidade principal do serviço (Amazon Bedrock)**
Você também deve especificar uma política de confiança que defina o Amazon Bedrock como entidade principal de serviço. Isso permite que o Amazon Bedrock assuma o perfil.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:evaluation-job/*"
}
}
}
]
}
```
------
**Requisitos principais do serviço (SageMaker IA)**
Especifique também uma política de confiança que defina o Amazon Bedrock como a entidade principal de serviço. Isso permite que a SageMaker IA assuma o papel.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSageMakerToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Permissões de perfil de serviço necessárias para criar um trabalho de avaliação de modelo que utiliza um modelo avaliador
Para criar um trabalho de avaliação de modelo que um LLM como avaliador, é necessário especificar um perfil de serviço. A política anexada concede ao Amazon Bedrock acesso aos recursos em sua conta e permite que o Amazon Bedrock invoque o modelo selecionado em seu nome.
A política de confiança define o Amazon Bedrock como entidade principal de serviço usando `bedrock.amazonaws.com`. Cada um dos exemplos de política a seguir mostra as ações do IAM exatas que são necessárias com base em cada serviço invocado em um trabalho de avaliação de modelo.
Para criar um perfil de serviço como descrito a seguir, consulte [Criar um perfil usando políticas de confiança personalizadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) no *Guia do usuário do IAM*.
## Ações do IAM necessária para o Amazon Bedrock
É necessário criar uma política que permita que o Amazon Bedrock invoque os modelos que você planeja especificar no trabalho de avaliação de modelo. Para saber mais sobre como gerenciar o acesso aos modelos do Amazon Bedrock, consulte [Acessar modelos de base do Amazon Bedrock](model-access.md). Na seção `"Resource"` da política, especifique também pelo menos um ARN de um modelo ao qual você tem acesso. Para usar um modelo criptografado com uma chave do KMS gerenciada pelo cliente, adicione as ações e os recursos necessários do IAM à política de perfil de serviço do IAM. Você também deve adicionar a função de serviço à política de AWS KMS chaves.
O perfil de serviço deve incluir acesso a pelo menos um modelo de avaliador compatível. Para ver uma lista dos modelos de avaliadores compatíveis no momento, consulte [Modelos compatíveis](evaluation-judge.md#evaluation-judge-supported).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BedrockModelInvoke",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*",
"arn:aws:bedrock:us-east-1:111122223333:inference-profile/*",
"arn:aws:bedrock:us-east-1:111122223333:provisioned-model/*",
"arn:aws:bedrock:us-east-1:111122223333:imported-model/*"
]
}
]
}
```
------
## Ações e recursos do IAM exigidos pelo Amazon S3
Sua política de perfil de serviço precisa incluir acesso ao bucket do Amazon S3 em que você deseja salvar a saída dos trabalhos de avaliação de modelo e acesso ao conjunto de dados de prompts que especificado na solicitação `CreateEvaluationJob` ou por meio do console do Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FetchAndUpdateOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
}
]
}
```
------
# Requisitos de perfil de serviço para trabalhos de avaliação de bases de conhecimento
Para criar um trabalho de avaliação de base de conhecimento, é necessário especificar um perfil de serviço. A política anexada concede ao Amazon Bedrock acesso aos recursos em sua conta e permite que o Amazon Bedrock faça o seguinte:
+ Invoque os modelos que você seleciona para geração de saída com a ação de API `RetrieveAndGenerate` e avalie as saídas da base de conhecimento.
+ Invoque as ações de API `Retrieve` e `RetrieveAndGenerate` das Bases de Conhecimento do Amazon Bedrock em sua instância de base de conhecimento.
Para criar um perfil de serviço personalizado, consulte [Criar um perfil usando políticas de confiança personalizada](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) no *Guia do usuário do IAM*.
**Ações necessárias do IAM para acessar o Amazon S3**
O seguinte exemplo de política concede acesso aos buckets do S3 quando ambas as situações abaixo ocorrem:
+ Você salva os resultados da avaliação da base de conhecimento.
+ O Amazon Bedrock lê o conjunto de dados de entrada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket"
],
"Resource":
[
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource":
[
"arn:aws:s3:::my_output_bucket",
"arn:aws:s3:::my_output_bucket/myfolder"
]
}
]
}
```
------
**Ações do IAM necessária para o Amazon Bedrock**
Também é necessário criar uma política que permita que o Amazon Bedrock faça o seguinte:
1. Invoque os modelos que você planeja especificar para o seguinte:
+ Geração de resultados com a ação de API `RetrieveAndGenerate`.
+ Avaliação dos resultados.
Para a chave `Resource` da política, você deve especificar pelo menos um ARN de um modelo ao qual você tem acesso. Para usar um modelo criptografado com uma chave do KMS gerenciada pelo cliente, adicione as ações e os recursos necessários do IAM à política de perfil de serviço do IAM. Você também deve adicionar a função de serviço à política de AWS KMS chaves.
1. Chame as ações de API `Retrieve` e `RetrieveAndGenerate`. Observe que, na criação automática de perfis no console, concedemos permissões para as ações de API `Retrieve` e `RetrieveAndGenerate`, independentemente da ação que você escolher avaliar para esse trabalho. Ao fazer isso, oferecemos maior flexibilidade e capacidade de reutilização para esse perfil. No entanto, para maior segurança, esse perfil criado automaticamente está vinculado a uma única instância da base de conhecimento.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificModels",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:GetImportedModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*",
"arn:aws:bedrock:us-east-1:123456789012:inference-profile/*",
"arn:aws:bedrock:us-east-1:123456789012:provisioned-model/*",
"arn:aws:bedrock:us-east-1:123456789012:imported-model/*",
"arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/*"
]
},
{
"Sid": "AllowKnowledgeBaseAPis",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve",
"bedrock:RetrieveAndGenerate"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id"
]
}
]
}
```
------
**Requisitos da entidade principal de serviço**
Especifique também uma política de confiança que defina o Amazon Bedrock como a entidade principal de serviço. Essa política permite que o Amazon Bedrock assuma o perfil. O ARN do trabalho de avaliação de modelo curinga (`*`) é necessário para que o Amazon Bedrock possa criar trabalhos de avaliação de modelo em sua conta. AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
}
}
}
]
}
```
------