Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Requisitos de rol de servicio para los trabajos de evaluación de modelos
Para crear un trabajo de evaluación de modelos, debe especificar un rol de servicio. Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
Las acciones y los recursos de IAM necesarios dependen del tipo de trabajo de evaluación de modelos que vaya a crear. Utilice las siguientes secciones para obtener más información sobre las acciones de IAM, las entidades principales de servicio y los recursos necesarios de Amazon Bedrock, Amazon SageMaker AI y Amazon S3. Si lo desea, puede cifrar el resultado mediante AWS Key Management Service.
**Topics**
+ [Requisitos de rol de servicio para los trabajos de evaluación de modelos automática](automatic-service-roles.md)
+ [Requisitos del rol de servicio para los trabajos de evaluación de modelos con intervención humana](model-eval-service-roles.md)
+ [Permisos del rol de servicio necesarios para crear un trabajo de evaluación del modelos con un modelo de juez](judge-service-roles.md)
+ [Requisitos del rol de servicio para los trabajos de evaluación de bases de conocimiento](rag-eval-service-roles.md)
# Requisitos de rol de servicio para los trabajos de evaluación de modelos automática
Para crear un trabajo de evaluación de modelos automática, debe especificar un rol de servicio. La política que asocie otorga a Amazon Bedrock acceso a los recursos de su cuenta y permite a Amazon Bedrock invocar el modelo seleccionado en su nombre.
También debe asociar una política de confianza que defina a Amazon Bedrock como la entidad principal de servicio que usa `bedrock.amazonaws.com`. Cada uno de los siguientes ejemplos de políticas muestra las acciones de IAM exactas que se requieren en función de cada servicio invocado en un trabajo de evaluación de modelos automática.
Para crear un rol de servicio personalizado, consulte [Creación de un rol que utilice una política de confianza personalizada](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) en la *Guía del usuario de IAM*.
**Acciones de IAM de Amazon S3 obligatorias**
El siguiente ejemplo de política otorga acceso a los buckets de S3 donde se guardan los resultados de la evaluación de modelos y (opcionalmente) a cualquier conjunto de datos de peticiones personalizado que haya especificado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my_output_bucket",
"arn:aws:s3:::my_output_bucket/myfolder"
]
}
]
}
```
------
**Acciones de IAM de Amazon Bedrock obligatorias**
También debe crear una política que permita a Amazon Bedrock invocar el modelo que planea especificar en el trabajo de evaluación automática de modelos. Para obtener más información sobre la administración del acceso a modelos de Amazon Bedrock, consulte [Acceso a los modelos fundacionales de Amazon Bedrock](model-access.md). En la sección `"Resource"` de la política, debe especificar al menos un ARN de un modelo al que también tenga acceso. Para utilizar un modelo cifrado con una clave de KMS administrada por el cliente, debe añadir las acciones y los recursos de IAM necesarios a la política de roles de servicio de IAM. También debe añadir el rol de servicio a la política AWS KMS clave.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToBedrockResources",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:ListInferenceProfiles",
"bedrock:GetImportedModel",
"bedrock:GetPromptRouter",
"sagemaker:InvokeEndpoint"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*",
"arn:aws:bedrock:*:111122223333:inference-profile/*",
"arn:aws:bedrock:*:111122223333:provisioned-model/*",
"arn:aws:bedrock:*:111122223333:imported-model/*",
"arn:aws:bedrock:*:111122223333:application-inference-profile/*",
"arn:aws:bedrock:*:111122223333:default-prompt-router/*",
"arn:aws:sagemaker:*:111122223333:endpoint/*",
"arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
]
}
]
}
```
------
**Requisitos de la entidad principal de servicio**
También debe especificar una política de confianza que defina a Amazon Bedrock como la entidad principal de servicio. Esto permite que Amazon Bedrock asuma el rol. El ARN del trabajo de evaluación de modelos wildcard (`*`) es obligatorio para que Amazon Bedrock pueda crear trabajos de evaluación de modelos en su cuenta. AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:evaluation-job/*"
}
}
}]
}
```
------
# Requisitos del rol de servicio para los trabajos de evaluación de modelos con intervención humana
Para crear un trabajo de evaluación de modelos en el que intervengan trabajadores humanos, debe especificar dos roles de servicio.
En las siguientes listas se resumen los requisitos de la política de IAM para cada rol de servicio obligatorio que debe especificarse en la consola de Amazon Bedrock.
**Resumen de los requisitos de la política de IAM para el rol de servicio de Amazon Bedrock**
+ Debe asociar una política de confianza que defina a Amazon Bedrock como la entidad principal de servicio.
+ Debe permitir que Amazon Bedrock invoque los modelos seleccionados en su nombre.
+ Debe permitir que Amazon Bedrock acceda al bucket de S3 que contenga su conjunto de datos de peticiones y al bucket de S3 en el que desee guardar los resultados.
+ Debe permitir que Amazon Bedrock cree los recursos de bucle humano necesarios en su cuenta.
+ (Recomendado) Use un *bloque* de `Condition` para especificar las cuentas que tienen acceso.
+ (Opcional) Debe permitir que Amazon Bedrock descifre su clave KMS si ha cifrado el bucket de conjunto de datos de peticiones o el bucket de Amazon S3 en el que quiera guardar los resultados.
**Resumen de los requisitos de la política de IAM para el rol de servicio Amazon SageMaker AI**
+ Debe adjuntar una política de confianza que defina a la SageMaker IA como la principal del servicio.
+ Debes permitir que SageMaker AI acceda al depósito de S3 que contiene tu conjunto de datos de solicitudes y al depósito de S3 en el que deseas guardar los resultados.
+ (Opcional) Debes permitir que SageMaker AI utilice las claves gestionadas por el cliente si has cifrado el depósito de datos de búsqueda o la ubicación en la que deseas obtener los resultados.
Para crear un rol de servicio personalizado, consulte [Creación de un rol que utilice una política de confianza personalizada](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) en la *Guía del usuario de IAM*.
**Acciones de IAM de Amazon S3 obligatorias**
El siguiente ejemplo de política otorga acceso a los buckets de S3 donde se guardan los resultados de la evaluación de modelos y al conjunto de datos de peticiones personalizado que haya especificado. Debe adjuntar esta política tanto a la función de servicio de SageMaker IA como a la función de servicio de Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::custom-prompt-dataset"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::model_evaluation_job_output"
]
}
]
}
```
------
**Acciones de IAM de Amazon Bedrock obligatorias**
Para permitir que Amazon Bedrock invoque el modelo que planea especificar en el trabajo de evaluación automática del modelo, asocie la siguiente política al rol de servicio de Amazon Bedrock. En la sección `"Resource"` de la política, debe especificar al menos un ARN de un modelo al que también tenga acceso. Para utilizar un modelo cifrado con una clave de KMS administrada por el cliente, debe añadir las acciones y los recursos de IAM necesarios al rol de servicio de IAM. También debe añadir los elementos AWS KMS clave de la política que sean necesarios.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToBedrockResources",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:ListInferenceProfiles",
"bedrock:GetImportedModel",
"bedrock:GetPromptRouter",
"sagemaker:InvokeEndpoint"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*",
"arn:aws:bedrock:*:111122223333:inference-profile/*",
"arn:aws:bedrock:*:111122223333:provisioned-model/*",
"arn:aws:bedrock:*:111122223333:imported-model/*",
"arn:aws:bedrock:*:111122223333:application-inference-profile/*",
"arn:aws:bedrock:*:111122223333:default-prompt-router/*",
"arn:aws:sagemaker:*:111122223333:endpoint/*",
"arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
]
}
]
}
```
------
**Acciones de IAM de Amazon Augmented AI obligatorias**
También debe crear una política que permita a Amazon Bedrock crear recursos relacionados con trabajos de evaluación del modelo con intervención humana. Dado que Amazon Bedrock crea los recursos necesarios para iniciar el trabajo de evaluación de modelos, debe utilizar `"Resource": "*"`. Debe asociar esta política al rol de servicio de Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageHumanLoops",
"Effect": "Allow",
"Action": [
"sagemaker:StartHumanLoop",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:StopHumanLoop",
"sagemaker:DeleteHumanLoop"
],
"Resource": "*"
}
]
}
```
------
**Requisitos de la entidad principal del servicio (Amazon Bedrock)**
También debe especificar una política de confianza que defina a Amazon Bedrock como la entidad principal de servicio. Esto permite que Amazon Bedrock asuma el rol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:evaluation-job/*"
}
}
}
]
}
```
------
**Requisitos principales del servicio (SageMaker AI)**
También debe especificar una política de confianza que defina a Amazon Bedrock como la entidad principal de servicio. Esto permite que la SageMaker IA asuma la función.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSageMakerToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Permisos del rol de servicio necesarios para crear un trabajo de evaluación del modelos con un modelo de juez
Para crear un trabajo de evaluación de modelos que utilice un LLM como juez, debe especificar un rol de servicio. La política que asocie otorga a Amazon Bedrock acceso a los recursos de su cuenta y permite a Amazon Bedrock invocar el modelo seleccionado en su nombre.
La política de confianza define Amazon Bedrock como la entidad principal que usa `bedrock.amazonaws.com`. Cada uno de los siguientes ejemplos de políticas muestra las acciones de IAM exactas que se requieren en función de cada servicio invocado en un trabajo de evaluación de modelos.
Para crear un rol de servicio personalizado como se describe a continuación, consulte [Creación de un rol que utilice una política de confianza personalizada](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) en la *Guía del usuario de IAM*.
## Acciones de IAM de Amazon Bedrock obligatorias
Debe crear una política que permita a Amazon Bedrock invocar el modelo que quiere especificar en el trabajo de evaluación de modelos. Para obtener más información sobre la administración del acceso a modelos de Amazon Bedrock, consulte [Acceso a los modelos fundacionales de Amazon Bedrock](model-access.md). En la sección `"Resource"` de la política, debe especificar al menos un ARN de un modelo al que también tenga acceso. Para utilizar un modelo cifrado con una clave de KMS administrada por el cliente, debe añadir las acciones y los recursos de IAM necesarios a la política de roles de servicio de IAM. También debe añadir el rol de servicio a la política AWS KMS clave.
El rol de servicio debe incluir el acceso a al menos un modelo evaluador compatible. Para obtener una lista de los modelos evaluadores admitidos actualmente, consulte [Modelos compatibles](evaluation-judge.md#evaluation-judge-supported).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BedrockModelInvoke",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*",
"arn:aws:bedrock:us-east-1:111122223333:inference-profile/*",
"arn:aws:bedrock:us-east-1:111122223333:provisioned-model/*",
"arn:aws:bedrock:us-east-1:111122223333:imported-model/*"
]
}
]
}
```
------
## Acciones de IAM y recursos de Amazon S3 necesarios
Su política de roles de servicio debe incluir el acceso al bucket de Amazon S3 en el que desea guardar la salida de los trabajos de evaluación de modelos y el acceso al conjunto de datos de peticiones que especificó en su solicitud `CreateEvaluationJob` o mediante la consola de Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FetchAndUpdateOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
}
]
}
```
------
# Requisitos del rol de servicio para los trabajos de evaluación de bases de conocimiento
Para crear un trabajo de evaluación de bases de conocimiento, debe especificar un rol de servicio. La política que asocie al rol otorga a Amazon Bedrock acceso a los recursos de su cuenta y permite a Amazon Bedrock hacer lo siguiente:
+ Invocar los modelos que seleccione para la generación de resultados con la acción de la API `RetrieveAndGenerate` y evaluar los resultados de la base de conocimiento
+ Invocar las acciones de la API `Retrieve` y `RetrieveAndGenerate` de Bases de conocimiento de Amazon Bedrock en su instancia de base de conocimiento
Para crear un rol de servicio personalizado, consulte [Creación de un rol que utilice políticas de confianza personalizadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) en la *Guía del usuario de IAM*.
**Acciones de IAM necesarias para el acceso a Amazon S3**
El siguiente ejemplo de política otorga acceso a los buckets de S3 cuando se producen las dos siguientes condiciones:
+ Guarda los resultados de la evaluación de la base de conocimiento.
+ Amazon Bedrock lee el conjunto de datos de entrada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket"
],
"Resource":
[
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource":
[
"arn:aws:s3:::my_output_bucket",
"arn:aws:s3:::my_output_bucket/myfolder"
]
}
]
}
```
------
**Acciones de IAM de Amazon Bedrock obligatorias**
También debe crear una política que permita a Amazon Bedrock hacer lo siguiente:
1. Invocar los modelos que quiere especificar para lo siguiente:
+ Generación de resultados con la acción de la API `RetrieveAndGenerate`
+ Resultados de la evaluación
Para la clave de `Resource` de la política, debe especificar al menos un ARN de un modelo al que tenga acceso. Para utilizar un modelo cifrado con una clave de KMS administrada por el cliente, debe añadir las acciones y los recursos de IAM necesarios a la política de roles de servicio de IAM. También debe añadir el rol de servicio a la política AWS KMS clave.
1. Llamar a las acciones de la API `Retrieve` y `RetrieveAndGenerate`. Tenga en cuenta que, en la creación automática de roles en la consola, concedemos permisos a las acciones de la API `Retrieve` y `RetrieveAndGenerate`, independientemente de la acción que elija evaluar para ese trabajo. De este modo, ofrecemos flexibilidad y capacidad de reutilización adicionales para ese rol. Sin embargo, para mayor seguridad, ese rol creado automáticamente está vinculado a una única instancia de la base de conocimiento.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificModels",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:GetImportedModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*",
"arn:aws:bedrock:us-east-1:123456789012:inference-profile/*",
"arn:aws:bedrock:us-east-1:123456789012:provisioned-model/*",
"arn:aws:bedrock:us-east-1:123456789012:imported-model/*",
"arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/*"
]
},
{
"Sid": "AllowKnowledgeBaseAPis",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve",
"bedrock:RetrieveAndGenerate"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id"
]
}
]
}
```
------
**Requisitos de la entidad principal de servicio**
También debe especificar una política de confianza que defina a Amazon Bedrock como la entidad principal de servicio. Esta política permite que Amazon Bedrock asuma el rol. El ARN del trabajo de evaluación de modelos wildcard (`*`) es obligatorio para que Amazon Bedrock pueda crear trabajos de evaluación de modelos en su cuenta. AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
}
}
}
]
}
```
------