Permisos del rol de servicio necesarios para crear un trabajo de evaluación del modelos con un modelo de juez - Amazon Bedrock
Acciones de IAM de Amazon Bedrock obligatoriasAcciones de IAM y recursos de Amazon S3 necesarios

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos del rol de servicio necesarios para crear un trabajo de evaluación del modelos con un modelo de juez

Para crear un trabajo de evaluación de modelos que utilice un LLM como juez, debe especificar un rol de servicio. La política que asocie otorga a Amazon Bedrock acceso a los recursos de su cuenta y permite a Amazon Bedrock invocar el modelo seleccionado en su nombre.

La política de confianza define Amazon Bedrock como la entidad principal que usa bedrock.amazonaws.com. Cada uno de los siguientes ejemplos de políticas muestra las acciones de IAM exactas que se requieren en función de cada servicio invocado en un trabajo de evaluación de modelos.

Para crear un rol de servicio personalizado como se describe a continuación, consulte Creación de un rol que utilice una política de confianza personalizada en la Guía del usuario de IAM.

Acciones de IAM de Amazon Bedrock obligatorias

Debe crear una política que permita a Amazon Bedrock invocar el modelo que quiere especificar en el trabajo de evaluación de modelos. Para obtener más información sobre la administración del acceso a modelos de Amazon Bedrock, consulte Acceso a los modelos fundacionales de Amazon Bedrock. En la sección "Resource" de la política, debe especificar al menos un ARN de un modelo al que también tenga acceso. Para utilizar un modelo cifrado con una clave de KMS administrada por el cliente, debe añadir las acciones y los recursos de IAM necesarios a la política de roles de servicio de IAM. También debe añadir el rol de servicio a la política AWS KMS clave.

El rol de servicio debe incluir el acceso a al menos un modelo evaluador compatible. Para obtener una lista de los modelos evaluadores admitidos actualmente, consulte Modelos compatibles.

JSON
{
	"Version":"2012-10-17",
	"Statement": [
		{
			"Sid": "BedrockModelInvoke",
			"Effect": "Allow",
			"Action": [
				"bedrock:InvokeModel",
				"bedrock:CreateModelInvocationJob",
				"bedrock:StopModelInvocationJob"
			],
			"Resource": [
				"arn:aws:bedrock:us-east-1::foundation-model/*",
				"arn:aws:bedrock:us-east-1:111122223333:inference-profile/*",
				"arn:aws:bedrock:us-east-1:111122223333:provisioned-model/*",
				"arn:aws:bedrock:us-east-1:111122223333:imported-model/*"
			]
		}
	]
}

Acciones de IAM y recursos de Amazon S3 necesarios

Su política de roles de servicio debe incluir el acceso al bucket de Amazon S3 en el que desea guardar la salida de los trabajos de evaluación de modelos y el acceso al conjunto de datos de peticiones que especificó en su solicitud CreateEvaluationJob o mediante la consola de Amazon Bedrock.

JSON
{
	"Version":"2012-10-17",
	"Statement": [
		{
			"Sid": "FetchAndUpdateOutputBucket",
			"Effect": "Allow",
			"Action": [
				"s3:GetObject",
				"s3:ListBucket",
				"s3:PutObject",
				"s3:GetBucketLocation",
				"s3:AbortMultipartUpload",
				"s3:ListBucketMultipartUploads"
			],
			"Resource": [
				"arn:aws:s3:::my_customdataset1_bucket",
	            "arn:aws:s3:::my_customdataset1_bucket/myfolder",
	            "arn:aws:s3:::my_customdataset2_bucket",
				"arn:aws:s3:::my_customdataset2_bucket/myfolder"
			]
		}
	]
}