Requisitos de perfil de serviço para trabalhos de avaliação de bases de conhecimento - Amazon Bedrock

Requisitos de perfil de serviço para trabalhos de avaliação de bases de conhecimento

Para criar um trabalho de avaliação de base de conhecimento, é necessário especificar um perfil de serviço. A política anexada concede ao Amazon Bedrock acesso aos recursos em sua conta e permite que o Amazon Bedrock faça o seguinte:

  • Invoque os modelos que você seleciona para geração de saída com a ação de API RetrieveAndGenerate e avalie as saídas da base de conhecimento.

  • Invoque as ações de API Retrieve e RetrieveAndGenerate das Bases de Conhecimento do Amazon Bedrock em sua instância de base de conhecimento.

Para criar um perfil de serviço personalizado, consulte Criar um perfil usando políticas de confiança personalizada no Guia do usuário do IAM.

Ações necessárias do IAM para acessar o Amazon S3

O seguinte exemplo de política concede acesso aos buckets do S3 quando ambas as situações abaixo ocorrem:

  • Você salva os resultados da avaliação da base de conhecimento.

  • O Amazon Bedrock lê o conjunto de dados de entrada.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Sid": "AllowAccessToCustomDatasets",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_customdataset1_bucket",
                "arn:aws:s3:::my_customdataset1_bucket/myfolder",
                "arn:aws:s3:::my_customdataset2_bucket",
                "arn:aws:s3:::my_customdataset2_bucket/myfolder"
            ]
        },
        {
            "Sid": "AllowAccessToOutputBucket",
            "Effect": "Allow",
            "Action":
            [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource":
            [
                "arn:aws:s3:::my_output_bucket",
                "arn:aws:s3:::my_output_bucket/myfolder"
            ]
        }
    ]
}
Ações do IAM necessária para o Amazon Bedrock

Também é necessário criar uma política que permita que o Amazon Bedrock faça o seguinte:

  1. Invoque os modelos que você planeja especificar para o seguinte:

    • Geração de resultados com a ação de API RetrieveAndGenerate.

    • Avaliação dos resultados.

    Para a chave Resource da política, você deve especificar pelo menos um ARN de um modelo ao qual você tem acesso. Para usar um modelo criptografado com uma chave do KMS gerenciada pelo cliente, adicione as ações e os recursos necessários do IAM à política de perfil de serviço do IAM. Adicione também o perfil de serviço à política de chave do AWS KMS.

  2. Chame as ações de API Retrieve e RetrieveAndGenerate. Observe que, na criação automática de perfis no console, concedemos permissões para as ações de API Retrieve e RetrieveAndGenerate, independentemente da ação que você escolher avaliar para esse trabalho. Ao fazer isso, oferecemos maior flexibilidade e capacidade de reutilização para esse perfil. No entanto, para maior segurança, esse perfil criado automaticamente está vinculado a uma única instância da base de conhecimento.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSpecificModels",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:CreateModelInvocationJob",
                "bedrock:StopModelInvocationJob",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:GetInferenceProfile",
                "bedrock:GetImportedModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/*",
                "arn:aws:bedrock:us-east-1:123456789012:inference-profile/*",
                "arn:aws:bedrock:us-east-1:123456789012:provisioned-model/*",
                "arn:aws:bedrock:us-east-1:123456789012:imported-model/*",
                "arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/*"
            ]
        },
        {
            "Sid": "AllowKnowledgeBaseAPis",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id"
            ]
        }
    ]
}
Requisitos da entidade principal de serviço

Especifique também uma política de confiança que defina o Amazon Bedrock como a entidade principal de serviço. Essa política permite que o Amazon Bedrock assuma o perfil. O ARN do trabalho de avaliação do modelo curinga (*) é necessário para que o Amazon Bedrock possa criar trabalhos de avaliação de modelo em sua conta da AWS.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowBedrockToAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
                }
            }
        }
    ]
}