创建第一个自动模型评测作业之前需要执行的步骤 - Amazon Bedrock
自动模型评测作业的控制台权限

创建第一个自动模型评测作业之前需要执行的步骤

自动模型评测作业需要对以下服务级别资源的访问权限。参阅链接的主题,了解有关设置的更多信息。

跨源资源共享(CORS)权限要求

所有基于控制台的模型评测作业都需要在模型评测作业中指定的任何 Amazon S3 存储桶上启用跨源资源共享(CORS)权限。要了解更多信息,请参阅 必需的 S3 存储桶的跨源资源共享(CORS)权限

启动自动模型评测作业所需的服务级别资源

  1. 要启动自动模型评测作业,您需要获得对至少一个 Amazon Bedrock 模型的访问权限。要了解更多信息,请参阅访问 Amazon Bedrock 基础模型

  2. 要创建自动模型评测作业,您需要获得对 https://console.aws.amazon.com/bedrock/、AWS Command Line Interface 或支持的 AWS SDK 的访问权限。要了解有关所需的 IAM 操作和资源的更多信息,请参阅创建自动模型评测作业所需的控制台权限

  3. 在模型评测作业启动时,可使用服务角色代表您执行操作。要了解有关所需的 IAM 操作和信任策略要求的更多信息,请参阅自动模型评估作业的服务角色要求

  4. Amazon Simple Storage Service – 在自动模型评测作业中,所使用和生成的所有数据都必须放置在位于同一 AWS 区域中的 Amazon S3 存储桶中。

  5. 跨源资源共享(CORS)– 使用 Amazon Bedrock 控制台创建的自动模型评测作业要求您在 S3 存储桶上指定 CORS 配置。要了解更多信息,请参阅必需的 S3 存储桶的跨源资源共享(CORS)权限

  6. IAM 服务角色 – 要运行自动模型评测作业,您必须创建服务角色。服务角色可让 Amazon Bedrock 代表您在您的 AWS 账户中执行操作。要了解更多信息,请参阅自动模型评估作业的服务角色要求

创建自动模型评测作业所需的控制台权限

以下策略包含使用 Amazon Bedrock 控制台创建自动模型评测作业所需的最少 Amazon Bedrock 和 Amazon S3 IAM 操作和资源集。

在该策略中,我们建议使用 IAM JSON 策略元素 Resource,将访问权限限制为仅能访问 IAM 用户、组或角色所需的模型和存储桶。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowPassingConsoleCreatedServiceRoles",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam::111122223333:role/service-role/Amazon-Bedrock-IAM-Role-*"
      ],
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "bedrock.amazonaws.com"
        }
      }
    },
    {
      "Sid": "BedrockConsole",
      "Effect": "Allow",
      "Action": [
        "bedrock:CreateEvaluationJob",
        "bedrock:GetEvaluationJob",
        "bedrock:ListEvaluationJobs",
        "bedrock:StopEvaluationJob",
        "bedrock:GetCustomModel",
        "bedrock:ListCustomModels",
        "bedrock:CreateProvisionedModelThroughput",
        "bedrock:UpdateProvisionedModelThroughput",
        "bedrock:GetProvisionedModelThroughput",
        "bedrock:ListProvisionedModelThroughputs",
        "bedrock:GetImportedModel",
        "bedrock:ListImportedModels",
        "bedrock:ListMarketplaceModelEndpoints",
        "bedrock:ListTagsForResource",
        "bedrock:UntagResource",
        "bedrock:TagResource"
      ],
      "Resource": [
        "arn:aws:bedrock:us-west-2::foundation-model/model-id-of-foundational-model",
        "arn:aws:bedrock:us-west-2:111122223333:inference-profile/*",
        "arn:aws:bedrock:us-west-2:111122223333:provisioned-model/*",
        "arn:aws:bedrock:us-west-2:111122223333:imported-model/*"
      ]
    },
    {
      "Sid": "AllowConsoleS3AccessForModelEvaluation",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetBucketCORS",
        "s3:ListBucket",
        "s3:ListBucketVersions",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::my_output_bucket",
        "arn:aws:s3:::input_datasets/prompts.jsonl"
      ]
    }
  ]
}