本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
知识库评估作业的服务角色要求
要创建知识库评估作业,必须指定服务角色。您为该角色附加的策略授予 Amazon Bedrock 访问您账户中资源的权限,并允许 Amazon Bedrock 执行以下操作:
要创建自定义服务角色,请参阅 IAM 用户指南中的创建使用自定义信任策略的角色。
访问 Amazon S3 所需的 IAM 操作
以下示例策略授予对发生以下两种情况的 S3 存储桶的访问权限:
- JSON
-
-
{
"Version": "2012-10-17",
"Statement":
[
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket"
],
"Resource":
[
"arn:aws:s3:::my_customdataset1_bucket
",
"arn:aws:s3:::my_customdataset1_bucket/myfolder
",
"arn:aws:s3:::my_customdataset2_bucket
",
"arn:aws:s3:::my_customdataset2_bucket/myfolder
"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource":
[
"arn:aws:s3:::my_output_bucket
",
"arn:aws:s3:::my_output_bucket/myfolder
"
]
}
]
}
必要的 Amazon Bedrock IAM 操作
您还需要创建一个允许 Amazon Bedrock 执行以下操作的策略:
-
调用您计划为以下内容指定的模型:
对于策略中的Resource
密钥,您必须指定您有权访问的模型的至少一个 ARN。要使用使用客户管理的 KMS 密钥加密的模型,您必须将所需的 IAM 操作和资源添加到 IAM 服务角色策略中。您还必须将服务角色添加到 AWS KMS 密钥策略中。
-
调用Retrieve
和 RetrieveAndGenerate
API 操作。请注意,在控制台的自动角色创建中,无论您选择为该任务评估哪个操作,我们都会向两者Retrieve
和 RetrieveAndGenerate
API 操作授予权限。通过这样做,我们为该角色提供了额外的灵活性和可重复使用性。但是,为了增加安全性,自动创建的角色与单个知识库实例绑定。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificModels",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:GetImportedModel"
],
"Resource": [
"arn:aws:bedrock:region::foundation-model/*",
"arn:aws:bedrock:region:account-id
:inference-profile/*",
"arn:aws:bedrock:region:account-id
:provisioned-model/*",
"arn:aws:bedrock:region:account-id
:imported-model/*",
"arn:aws:bedrock:region:account-id
:application-inference-profile/*"
]
},
{
"Sid": "AllowKnowledgeBaseAPis",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve",
"bedrock:RetrieveAndGenerate"
],
"Resource": [
"arn:aws:bedrock:region
:account-id
:knowledge-base/knowledge-base-id
"
]
}
]
}
服务主体要求
还必须指定将 Amazon Bedrock 定义为服务主体的信任策略,该政策允许 Amazon Bedrock 担任该角色。需要使用通配符 (*
) 模型评估任务 ARN,这样 Amazon Bedrock 才能在您的账户中创建模型评估任务。 AWS
- JSON
-
-
{
"Version": "2012-10-17",
"Statement":
[
{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal":
{
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition":
{
"StringEquals":
{
"aws:SourceAccount": "account-id
"
},
"ArnEquals":
{
"aws:SourceArn": "arn:aws:bedrock:region
:account-id
:evaluation-job/*"
}
}
}
]
}