Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Exigences de fonction du service pour les tâches d’évaluation de modèle
Pour créer une tâche d’évaluation de modèle, vous devez spécifier un rôle de service. Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
Les actions et ressources IAM requises dépendent du type de tâche d’évaluation de modèles que vous créez. Consultez les sections suivantes pour en savoir plus sur les ressources, les principaux du service et les actions IAM nécessaires pour Amazon Bedrock, Amazon SageMaker AI et Amazon S3. Vous pouvez éventuellement choisir de chiffrer vos données à l’aide d’AWS Key Management Service.
**Topics**
+ [Exigences de fonction du service pour les tâches d’évaluation de modèle automatique](automatic-service-roles.md)
+ [Exigences du rôle de service pour les tâches d’évaluation de modèles basées sur l’humain](model-eval-service-roles.md)
+ [Autorisations de rôle de service requises pour créer une tâche d’évaluation des modèles faisant appel à un modèle d’évaluation](judge-service-roles.md)
+ [Exigences du rôle de service pour les tâches d’évaluation de base de connaissances](rag-eval-service-roles.md)
# Exigences de fonction du service pour les tâches d’évaluation de modèle automatique
Pour créer une tâche d’évaluation de modèle automatique, vous devez spécifier une fonction du service. La politique que vous attachez accorde à Amazon Bedrock un accès aux ressources de votre compte et permet à Amazon Bedrock d’invoquer le modèle sélectionné en votre nom.
Vous devez également attacher une politique de confiance qui définisse Amazon Bedrock en tant que principal du service à l’aide de `bedrock.amazonaws.com`. Chacun des exemples de politique suivants montre les actions IAM exactes qui sont nécessaires en fonction du service invoqué dans le cadre d’une tâche d’évaluation de modèle automatique.
Pour créer une fonction du service personnalisée, consultez [Création d’un rôle à l’aide de politiques d’approbation personnalisées](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) dans le *Guide de l’utilisateur IAM*.
**Actions IAM Amazon S3 nécessaires**
L’exemple de politique suivant accorde un accès aux compartiments S3 où sont enregistrés les résultats de vos évaluations de modèle, ainsi qu’un accès (facultatif) aux jeux de données d’invite personnalisés que vous avez spécifiés.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my_output_bucket",
"arn:aws:s3:::my_output_bucket/myfolder"
]
}
]
}
```
------
**Actions IAM Amazon Bedrock nécessaires**
Vous devez également créer une politique qui permette à Amazon Bedrock d’invoquer le modèle que vous prévoyez de spécifier dans la tâche d’évaluation de modèle automatique. Pour en savoir plus sur la gestion de l’accès aux modèles Amazon Bedrock, consultez [Accès aux modèles de fondation Amazon Bedrock](model-access.md). Dans la section `"Resource"` de la politique, vous devez spécifier au moins un ARN d’un modèle auquel vous avez également accès. Pour utiliser un modèle chiffré avec une clé KMS gérée par le client, vous devez ajouter les actions et ressources IAM requises à la politique du rôle de service IAM. Vous devez également ajouter le rôle de service à la politique AWS KMS clé.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToBedrockResources",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:ListInferenceProfiles",
"bedrock:GetImportedModel",
"bedrock:GetPromptRouter",
"sagemaker:InvokeEndpoint"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*",
"arn:aws:bedrock:*:111122223333:inference-profile/*",
"arn:aws:bedrock:*:111122223333:provisioned-model/*",
"arn:aws:bedrock:*:111122223333:imported-model/*",
"arn:aws:bedrock:*:111122223333:application-inference-profile/*",
"arn:aws:bedrock:*:111122223333:default-prompt-router/*",
"arn:aws:sagemaker:*:111122223333:endpoint/*",
"arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
]
}
]
}
```
------
**Exigences de principal du service**
Vous devez également spécifier une politique de confiance qui définisse Amazon Bedrock en tant que principal du service. Cela permet à Amazon Bedrock d’endosser le rôle. L'ARN des tâches d'évaluation de modèles wildcard (`*`) est requis pour qu'Amazon Bedrock puisse créer des tâches d'évaluation de modèles dans votre AWS compte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:evaluation-job/*"
}
}
}]
}
```
------
# Exigences du rôle de service pour les tâches d’évaluation de modèles basées sur l’humain
Pour créer une tâche d’évaluation de modèle faisant appel à des évaluateurs humains, vous devez spécifier deux fonctions du service.
Les listes suivantes résument les exigences de politique IAM pour chaque fonction du service nécessaire qui doit être spécifiée dans la console Amazon Bedrock.
**Résumé des exigences de politique IAM pour la fonction du service Amazon Bedrock**
+ Vous devez attacher une politique de confiance qui définisse Amazon Bedrock en tant que principal du service.
+ Vous devez autoriser Amazon Bedrock à invoquer les modèles sélectionnés en votre nom.
+ Vous devez autoriser Amazon Bedrock à accéder au compartiment S3 qui contient votre jeu de données d’invite et au compartiment S3 où doivent être enregistrés les résultats.
+ Vous devez autoriser Amazon Bedrock à créer les ressources de boucle humaine nécessaires dans votre compte.
+ (Recommandé) Utilisez un *bloc* `Condition` pour spécifier les comptes autorisés à y accéder.
+ (Facultatif) Vous devez autoriser Amazon Bedrock à déchiffrer votre clé KMS si vous avez chiffré le compartiment de votre jeu de données d’invite ou le compartiment Amazon S3 où doivent être enregistrés les résultats.
**Résumé des exigences de la politique IAM pour le rôle de service Amazon SageMaker AI**
+ Vous devez joindre une politique de confiance qui définit l' SageMaker IA comme le principal du service.
+ Vous devez autoriser l' SageMaker IA à accéder au compartiment S3 qui contient votre ensemble de données d'invite et au compartiment S3 dans lequel vous souhaitez enregistrer les résultats.
+ (Facultatif) Vous devez autoriser l' SageMaker IA à utiliser les clés gérées par vos clients si vous avez chiffré le bucket de votre ensemble de données demandé ou l'emplacement où vous vouliez obtenir les résultats.
Pour créer une fonction du service personnalisée, consultez [Création d’un rôle à l’aide de politiques d’approbation personnalisées](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) dans le *Guide de l’utilisateur IAM*.
**Actions IAM Amazon S3 nécessaires**
L’exemple de politique suivant accorde un accès aux compartiments S3 où sont enregistrés les résultats de vos évaluations de modèle, ainsi qu’un accès au jeu de données d’invite personnalisé que vous avez spécifié. Vous devez associer cette politique au rôle de service SageMaker AI et au rôle de service Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::custom-prompt-dataset"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::model_evaluation_job_output"
]
}
]
}
```
------
**Actions IAM Amazon Bedrock nécessaires**
Pour autoriser Amazon Bedrock à invoquer le modèle que vous prévoyez de spécifier dans la tâche d’évaluation de modèles automatique, associez la politique suivante au rôle de service Amazon Bedrock. Dans la section `"Resource"` de la politique, vous devez spécifier au moins un ARN d’un modèle auquel vous avez également accès. Pour utiliser un modèle chiffré avec une clé KMS gérée par le client, vous devez ajouter les actions et ressources IAM requises au rôle de service IAM. Vous devez également ajouter tous les éléments de politique AWS KMS clés requis.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToBedrockResources",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:ListInferenceProfiles",
"bedrock:GetImportedModel",
"bedrock:GetPromptRouter",
"sagemaker:InvokeEndpoint"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*",
"arn:aws:bedrock:*:111122223333:inference-profile/*",
"arn:aws:bedrock:*:111122223333:provisioned-model/*",
"arn:aws:bedrock:*:111122223333:imported-model/*",
"arn:aws:bedrock:*:111122223333:application-inference-profile/*",
"arn:aws:bedrock:*:111122223333:default-prompt-router/*",
"arn:aws:sagemaker:*:111122223333:endpoint/*",
"arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
]
}
]
}
```
------
**Actions IAM d’IA augmentée d’Amazon nécessaires**
Vous devez également créer une politique qui permette à Amazon Bedrock de créer des ressources liées à des tâches d’évaluation de modèles basées sur l’humain. Comme Amazon Bedrock crée les ressources nécessaires au démarrage de la tâche d’évaluation de modèle, vous devez utiliser `"Resource": "*"`. Vous devez attacher cette politique à la fonction du service Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageHumanLoops",
"Effect": "Allow",
"Action": [
"sagemaker:StartHumanLoop",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:StopHumanLoop",
"sagemaker:DeleteHumanLoop"
],
"Resource": "*"
}
]
}
```
------
**Exigences de principal du service (Amazon Bedrock)**
Vous devez également spécifier une politique de confiance qui définisse Amazon Bedrock en tant que principal du service. Cela permet à Amazon Bedrock d’endosser le rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:evaluation-job/*"
}
}
}
]
}
```
------
**Principales exigences du service (SageMaker AI)**
Vous devez également spécifier une politique de confiance qui définisse Amazon Bedrock en tant que principal du service. Cela permet à SageMaker l'IA d'assumer ce rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSageMakerToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Autorisations de rôle de service requises pour créer une tâche d’évaluation des modèles faisant appel à un modèle d’évaluation
Pour créer une tâche d’évaluation de modèles qui utilise un LLM-juge, vous devez spécifier un rôle de service. La politique que vous attachez accorde à Amazon Bedrock un accès aux ressources de votre compte et permet à Amazon Bedrock d’invoquer le modèle sélectionné en votre nom.
La politique de confiance définit Amazon Bedrock en tant que principal du service à l’aide de `bedrock.amazonaws.com`. Chacun des exemples de politique suivants montre les actions IAM exactes qui sont nécessaires en fonction du service invoqué dans le cadre d’une tâche d’évaluation de modèles
Pour créer un rôle de service personnalisé comme décrit ci-dessous, consultez [Création d’un rôle à l’aide de politiques d’approbation personnalisées](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) dans le *Guide de l’utilisateur IAM*.
## Actions IAM Amazon Bedrock nécessaires
Vous devez créer une politique qui permette à Amazon Bedrock d’invoquer les modèles que vous prévoyez de spécifier dans la tâche d’évaluation de modèles. Pour en savoir plus sur la gestion de l’accès aux modèles Amazon Bedrock, consultez [Accès aux modèles de fondation Amazon Bedrock](model-access.md). Dans la section `"Resource"` de la politique, vous devez spécifier au moins un ARN d’un modèle auquel vous avez également accès. Pour utiliser un modèle chiffré avec une clé KMS gérée par le client, vous devez ajouter les actions et ressources IAM requises à la politique du rôle de service IAM. Vous devez également ajouter le rôle de service à la politique AWS KMS clé.
Le rôle de service doit inclure l’accès à au moins un modèle évaluateur pris en charge. Pour obtenir la liste des modèles évaluateurs actuellement pris en charge, consultez [Modèles pris en charge](evaluation-judge.md#evaluation-judge-supported).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BedrockModelInvoke",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*",
"arn:aws:bedrock:us-east-1:111122223333:inference-profile/*",
"arn:aws:bedrock:us-east-1:111122223333:provisioned-model/*",
"arn:aws:bedrock:us-east-1:111122223333:imported-model/*"
]
}
]
}
```
------
## Actions et ressources IAM Amazon S3 nécessaires
Votre politique en matière de rôle de service doit inclure l’accès au compartiment Amazon S3 dans lequel vous souhaitez enregistrer les résultats des tâches d’évaluation de modèles, ainsi que l’accès au jeu de données d’invite que vous avez spécifié dans votre demande `CreateEvaluationJob` ou via la console Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FetchAndUpdateOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
}
]
}
```
------
# Exigences du rôle de service pour les tâches d’évaluation de base de connaissances
Pour créer une tâche d’évaluation de base de connaissances, vous devez spécifier un rôle de service. La politique que vous attachez au rôle accorde à Amazon Bedrock un accès aux ressources de votre compte et permet à Amazon Bedrock d’effectuer les tâches suivantes :
+ Invoquez les modèles que vous sélectionnez pour la génération de sortie à l’aide de l’action d’API `RetrieveAndGenerate` et évaluez les sorties de la base de connaissances.
+ Invoquez les actions d’API `Retrieve` et `RetrieveAndGenerate` des bases de connaissances Amazon Bedrock sur votre instance de base de connaissances.
Pour créer un rôle de service personnalisé, consultez [Création d’un rôle à l’aide de politiques d’approbation personnalisées](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) dans le *Guide de l’utilisateur IAM*.
**Autorisations IAM requises pour un accès à Amazon S3**
L’exemple de politique suivant autorise l’accès aux compartiments S3 dans lesquels les deux événements suivants se produisent :
+ Vous enregistrez les résultats de l’évaluation de votre base de connaissances.
+ Amazon Bedrock lit votre jeu de données d’entrée.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket"
],
"Resource":
[
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource":
[
"arn:aws:s3:::my_output_bucket",
"arn:aws:s3:::my_output_bucket/myfolder"
]
}
]
}
```
------
**Actions IAM Amazon Bedrock nécessaires**
Vous devez également créer une politique qui permette à Amazon Bedrock d’effectuer les opérations suivantes :
1. Invoquez les modèles que vous souhaitez spécifier pour les éléments suivants :
+ Génération de résultats à l’aide de l’action d’API `RetrieveAndGenerate`.
+ Évaluation des résultats.
Pour la clé `Resource` de la politique, vous devez spécifier au moins un ARN d’un modèle auquel vous avez accès. Pour utiliser un modèle chiffré à l’aide d’une clé KMS gérée par le client, vous devez ajouter les actions et ressources IAM requises à la politique du rôle de service IAM. Vous devez également ajouter le rôle de service à la politique AWS KMS clé.
1. Appelez les actions d’API `Retrieve` et `RetrieveAndGenerate`. Notez que, lors de la création automatique des rôles dans la console, nous accordons des autorisations aux actions d’API `Retrieve` et `RetrieveAndGenerate`, quelle que soit l’action que vous choisissez d’évaluer pour cette tâche. Ce faisant, nous donnons plus de flexibilité et de réutilisabilité à ce rôle. Toutefois, pour plus de sécurité, ce rôle créé automatiquement est lié à une seule instance de base de connaissances.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificModels",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:GetImportedModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*",
"arn:aws:bedrock:us-east-1:123456789012:inference-profile/*",
"arn:aws:bedrock:us-east-1:123456789012:provisioned-model/*",
"arn:aws:bedrock:us-east-1:123456789012:imported-model/*",
"arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/*"
]
},
{
"Sid": "AllowKnowledgeBaseAPis",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve",
"bedrock:RetrieveAndGenerate"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id"
]
}
]
}
```
------
**Exigences de principal du service**
Vous devez également spécifier une politique de confiance qui définisse Amazon Bedrock en tant que principal du service. Cette politique permet à Amazon Bedrock d’endosser le rôle. L'ARN des tâches d'évaluation de modèles wildcard (`*`) est requis pour qu'Amazon Bedrock puisse créer des tâches d'évaluation de modèles dans votre AWS compte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
}
}
}
]
}
```
------