创建使用评判模型的模型评估作业所需的服务角色权限 - Amazon Bedrock
必要的 Amazon Bedrock IAM 操作所需的 Amazon S3 IAM 操作和资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建使用评判模型的模型评估作业所需的服务角色权限

要创建使用 LLM 作为评判的模型评估作业,必须指定服务角色。您附加的策略将授予 Amazon Bedrock 访问您账户中资源的权限,并允许 Amazon Bedrock 代表您调用所选模型。

信任策略将 Amazon Bedrock 定义为使用的bedrock.amazonaws.com服务主体。以下每个策略示例都根据模型评估任务中调用的每项服务向您展示了所需的确切 IAM 操作

要按下文所述创建自定义服务角色,请参阅 IAM 用户指南中的创建使用自定义信任策略的角色

必要的 Amazon Bedrock IAM 操作

您需要创建一个策略,允许 Amazon Bedrock 调用您计划在模型评估任务中指定的模型。要了解有关管理 Amazon Bedrock 模型访问权限的更多信息,请参阅访问 Amazon Bedrock 基础模型。在策略的 "Resource" 部分,您必须至少指定一个您也可以访问的模型的 ARN。要使用客户自主管理型 KMS 密钥加密的模型,您必须在 IAM 服务角色策略中添加所需的 IAM 操作和资源。您还必须将服务角色添加到 AWS KMS 密钥策略中。

服务角色必须包括对至少一个支持的评估器模型的访问权限。有关当前支持的赋值器模型的列表,请参阅支持的模型

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "BedRockModelInvoke",
			"Effect": "Allow",
			"Action": [
				"bedrock:InvokeModel",
				"bedrock:CreateModelInvocationJob",
				"bedrock:StopModelInvocationJob"
			],
			"Resource": [
				"arn:aws:bedrock:region::foundation-model/*",
				"arn:aws:bedrock:region:111122223333:inference-profile/*",
				"arn:aws:bedrock:region:111122223333:provisioned-model/*",
				"arn:aws:bedrock:region:111122223333:imported-model/*""
			]
		}
	]
}

所需的 Amazon S3 IAM 操作和资源

您的服务角色策略需要包括访问您想要保存模型评估任务输出的 Amazon S3 存储桶,以及访问您在CreateEvaluationJob请求中或通过 Amazon Bedrock 控制台指定的提示数据集。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "FetchAndUpdateOutputBucket",
			"Effect": "Allow",
			"Action": [
				"s3:GetObject",
				"s3:ListBucket",
				"s3:PutObject",
				"s3:GetBucketLocation",
				"s3:AbortMultipartUpload",
				"s3:ListBucketMultipartUploads"
			],
			"Resource": [
				"arn:aws:s3:::my_customdataset1_bucket",
	            "arn:aws:s3:::my_customdataset1_bucket/myfolder",
	            "arn:aws:s3:::my_customdataset2_bucket",
				"arn:aws:s3:::my_customdataset2_bucket/myfolder"
			]
		}
	]
}