Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Persyaratan peran layanan untuk pekerjaan evaluasi model
Untuk membuat pekerjaan evaluasi model, Anda harus menentukan peran layanan. Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*.
Tindakan dan sumber daya IAM yang diperlukan bergantung pada jenis pekerjaan evaluasi model yang Anda buat. Gunakan bagian berikut untuk mempelajari selengkapnya tentang tindakan Amazon Bedrock, Amazon SageMaker AI, dan Amazon S3 IAM yang diperlukan, prinsip layanan, dan sumber daya. Anda dapat memilih untuk mengenkripsi data Anda menggunakan. AWS Key Management Service
**Topics**
+ [Persyaratan peran layanan untuk pekerjaan evaluasi model otomatis](automatic-service-roles.md)
+ [Persyaratan peran layanan untuk pekerjaan evaluasi model berbasis manusia](model-eval-service-roles.md)
+ [Izin peran layanan yang diperlukan untuk membuat pekerjaan evaluasi model yang menggunakan model hakim](judge-service-roles.md)
+ [Persyaratan peran layanan untuk pekerjaan evaluasi basis pengetahuan](rag-eval-service-roles.md)
# Persyaratan peran layanan untuk pekerjaan evaluasi model otomatis
Untuk membuat pekerjaan evaluasi model otomatis, Anda harus menentukan peran layanan. Kebijakan yang Anda lampirkan memberikan Amazon Bedrock akses ke sumber daya di akun Anda, dan memungkinkan Amazon Bedrock untuk memanggil model yang dipilih atas nama Anda.
Anda juga harus melampirkan kebijakan kepercayaan yang mendefinisikan Amazon Bedrock sebagai prinsipal layanan yang digunakan. `bedrock.amazonaws.com` Masing-masing contoh kebijakan berikut menunjukkan kepada Anda tindakan IAM yang tepat yang diperlukan berdasarkan setiap layanan yang dipanggil dalam pekerjaan evaluasi model otomatis.
Untuk membuat peran layanan kustom, lihat [Membuat peran yang menggunakan kebijakan kepercayaan khusus](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) di *Panduan Pengguna IAM*.
**Tindakan IAM Amazon S3 yang diperlukan**
Contoh kebijakan berikut memberikan akses ke bucket S3 tempat hasil evaluasi model Anda disimpan, dan (opsional) akses ke kumpulan data prompt kustom yang telah Anda tentukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my_output_bucket",
"arn:aws:s3:::my_output_bucket/myfolder"
]
}
]
}
```
------
**Tindakan IAM Amazon Bedrock yang diperlukan**
Anda juga perlu membuat kebijakan yang memungkinkan Amazon Bedrock untuk memanggil model yang Anda rencanakan untuk ditentukan dalam pekerjaan evaluasi model otomatis. Untuk mempelajari lebih lanjut tentang mengelola akses ke model Amazon Bedrock, lihat[Akses model fondasi Amazon Bedrock](model-access.md). Di `"Resource"` bagian kebijakan, Anda harus menentukan setidaknya satu ARN dari model yang Anda akses juga. Untuk menggunakan model yang dienkripsi dengan kunci KMS kunci terkelola pelanggan, Anda harus menambahkan tindakan dan sumber daya IAM yang diperlukan ke kebijakan peran layanan IAM. Anda juga harus menambahkan peran layanan ke kebijakan AWS KMS kunci.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToBedrockResources",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:ListInferenceProfiles",
"bedrock:GetImportedModel",
"bedrock:GetPromptRouter",
"sagemaker:InvokeEndpoint"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*",
"arn:aws:bedrock:*:111122223333:inference-profile/*",
"arn:aws:bedrock:*:111122223333:provisioned-model/*",
"arn:aws:bedrock:*:111122223333:imported-model/*",
"arn:aws:bedrock:*:111122223333:application-inference-profile/*",
"arn:aws:bedrock:*:111122223333:default-prompt-router/*",
"arn:aws:sagemaker:*:111122223333:endpoint/*",
"arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
]
}
]
}
```
------
**Persyaratan utama layanan**
Anda juga harus menentukan kebijakan kepercayaan yang mendefinisikan Amazon Bedrock sebagai prinsipal layanan. Hal ini memungkinkan Amazon Bedrock untuk mengambil peran. Pekerjaan evaluasi model wildcard (`*`) ARN diperlukan agar Amazon Bedrock dapat membuat pekerjaan evaluasi model di akun Anda. AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:evaluation-job/*"
}
}
}]
}
```
------
# Persyaratan peran layanan untuk pekerjaan evaluasi model berbasis manusia
Untuk membuat pekerjaan evaluasi model yang menggunakan evaluator manusia, Anda harus menentukan dua peran layanan.
Daftar berikut merangkum persyaratan kebijakan IAM untuk setiap peran layanan yang diperlukan yang harus ditentukan di konsol Amazon Bedrock.
**Ringkasan persyaratan kebijakan IAM untuk peran layanan Amazon Bedrock**
+ Anda harus melampirkan kebijakan kepercayaan yang mendefinisikan Amazon Bedrock sebagai prinsipal layanan.
+ Anda harus mengizinkan Amazon Bedrock untuk memanggil model yang dipilih atas nama Anda.
+ Anda harus mengizinkan Amazon Bedrock mengakses bucket S3 yang menyimpan kumpulan data prompt Anda dan bucket S3 tempat Anda ingin hasil disimpan.
+ Anda harus mengizinkan Amazon Bedrock untuk membuat sumber daya loop manusia yang diperlukan di akun Anda.
+ (Disarankan) Gunakan `Condition` *blok* untuk menentukan akun yang dapat diakses.
+ (Opsional) Anda harus mengizinkan Amazon Bedrock untuk mendekripsi kunci KMS Anda jika Anda telah mengenkripsi bucket dataset prompt atau bucket Amazon S3 tempat Anda ingin hasilnya disimpan.
**Ringkasan persyaratan kebijakan IAM untuk peran layanan Amazon SageMaker AI**
+ Anda harus melampirkan kebijakan kepercayaan yang mendefinisikan SageMaker AI sebagai prinsip layanan.
+ Anda harus mengizinkan SageMaker AI mengakses bucket S3 yang menyimpan kumpulan data prompt Anda dan bucket S3 tempat Anda ingin hasil disimpan.
+ (Opsional) Anda harus mengizinkan SageMaker AI untuk menggunakan kunci yang dikelola pelanggan jika Anda telah mengenkripsi bucket dataset prompt atau lokasi di mana Anda menginginkan hasilnya.
Untuk membuat peran layanan kustom, lihat [Membuat peran yang menggunakan kebijakan kepercayaan khusus](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) di *Panduan Pengguna IAM*.
**Tindakan IAM Amazon S3 yang diperlukan**
Contoh kebijakan berikut memberikan akses ke bucket S3 tempat hasil evaluasi model Anda disimpan, dan akses ke kumpulan data prompt kustom yang telah Anda tentukan. Anda harus melampirkan kebijakan ini ke peran layanan SageMaker AI dan peran layanan Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::custom-prompt-dataset"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::model_evaluation_job_output"
]
}
]
}
```
------
**Tindakan IAM Amazon Bedrock yang diperlukan**
Untuk mengizinkan Amazon Bedrock menjalankan model yang ingin Anda tentukan dalam tugas evaluasi model otomatis, lampirkan kebijakan berikut ke peran layanan Amazon Bedrock. Di `"Resource"` bagian kebijakan, Anda harus menentukan setidaknya satu ARN dari model yang Anda akses juga. Untuk menggunakan model yang dienkripsi dengan kunci KMS kunci yang dikelola pelanggan, Anda harus menambahkan tindakan dan sumber daya IAM yang diperlukan ke peran layanan IAM. Anda juga harus menambahkan elemen kebijakan AWS KMS kunci yang diperlukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToBedrockResources",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:ListInferenceProfiles",
"bedrock:GetImportedModel",
"bedrock:GetPromptRouter",
"sagemaker:InvokeEndpoint"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*",
"arn:aws:bedrock:*:111122223333:inference-profile/*",
"arn:aws:bedrock:*:111122223333:provisioned-model/*",
"arn:aws:bedrock:*:111122223333:imported-model/*",
"arn:aws:bedrock:*:111122223333:application-inference-profile/*",
"arn:aws:bedrock:*:111122223333:default-prompt-router/*",
"arn:aws:sagemaker:*:111122223333:endpoint/*",
"arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
]
}
]
}
```
------
**Tindakan IAM Augmented AI Amazon yang diperlukan**
Anda juga harus membuat kebijakan yang memungkinkan Amazon Bedrock membuat sumber daya yang terkait dengan pekerjaan evaluasi model berbasis manusia. Karena Amazon Bedrock menciptakan sumber daya yang diperlukan untuk memulai pekerjaan evaluasi model, Anda harus menggunakannya`"Resource": "*"`. Anda harus melampirkan kebijakan ini ke peran layanan Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageHumanLoops",
"Effect": "Allow",
"Action": [
"sagemaker:StartHumanLoop",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:StopHumanLoop",
"sagemaker:DeleteHumanLoop"
],
"Resource": "*"
}
]
}
```
------
**Persyaratan utama layanan (Amazon Bedrock)**
Anda juga harus menentukan kebijakan kepercayaan yang mendefinisikan Amazon Bedrock sebagai prinsipal layanan. Hal ini memungkinkan Amazon Bedrock untuk mengambil peran.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:evaluation-job/*"
}
}
}
]
}
```
------
**Persyaratan utama layanan (SageMaker AI)**
Anda juga harus menentukan kebijakan kepercayaan yang mendefinisikan Amazon Bedrock sebagai prinsipal layanan. Ini memungkinkan SageMaker AI untuk mengambil peran.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSageMakerToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Izin peran layanan yang diperlukan untuk membuat pekerjaan evaluasi model yang menggunakan model hakim
Untuk membuat pekerjaan evaluasi model yang menggunakan LLM sebagai hakim, Anda harus menentukan peran layanan. Kebijakan yang Anda lampirkan memberikan Amazon Bedrock akses ke sumber daya di akun Anda, dan memungkinkan Amazon Bedrock untuk memanggil model yang dipilih atas nama Anda.
Kebijakan kepercayaan mendefinisikan Amazon Bedrock sebagai prinsip layanan yang digunakan. `bedrock.amazonaws.com` Masing-masing contoh kebijakan berikut menunjukkan kepada Anda tindakan IAM yang tepat yang diperlukan berdasarkan setiap layanan yang dipanggil dalam pekerjaan evaluasi model
Untuk membuat peran layanan kustom seperti yang dijelaskan di bawah ini, lihat [Membuat peran yang menggunakan kebijakan kepercayaan khusus](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) di *Panduan Pengguna IAM*.
## Tindakan IAM Amazon Bedrock yang diperlukan
Anda perlu membuat kebijakan yang memungkinkan Amazon Bedrock untuk memanggil model yang Anda rencanakan untuk ditentukan dalam pekerjaan evaluasi model. Untuk mempelajari lebih lanjut tentang mengelola akses ke model Amazon Bedrock, lihat[Akses model fondasi Amazon Bedrock](model-access.md). Di `"Resource"` bagian kebijakan, Anda harus menentukan setidaknya satu ARN dari model yang Anda akses juga. Untuk menggunakan model yang dienkripsi dengan kunci KMS kunci terkelola pelanggan, Anda harus menambahkan tindakan dan sumber daya IAM yang diperlukan ke kebijakan peran layanan IAM. Anda juga harus menambahkan peran layanan ke kebijakan AWS KMS kunci.
Peran layanan harus mencakup akses ke setidaknya satu model evaluator yang didukung. Untuk daftar model evaluator yang saat ini didukung, lihat[Model yang didukung](evaluation-judge.md#evaluation-judge-supported).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BedrockModelInvoke",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*",
"arn:aws:bedrock:us-east-1:111122223333:inference-profile/*",
"arn:aws:bedrock:us-east-1:111122223333:provisioned-model/*",
"arn:aws:bedrock:us-east-1:111122223333:imported-model/*"
]
}
]
}
```
------
## Tindakan dan sumber daya IAM Amazon S3 yang diperlukan
Kebijakan peran layanan Anda harus menyertakan akses ke bucket Amazon S3 tempat Anda ingin output pekerjaan evaluasi model disimpan, dan akses ke kumpulan data prompt yang telah Anda tentukan dalam `CreateEvaluationJob` permintaan atau melalui konsol Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FetchAndUpdateOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
}
]
}
```
------
# Persyaratan peran layanan untuk pekerjaan evaluasi basis pengetahuan
Untuk membuat pekerjaan evaluasi basis pengetahuan, Anda harus menentukan peran layanan. Kebijakan yang Anda lampirkan ke peran memberikan Amazon Bedrock akses ke sumber daya di akun Anda, dan memungkinkan Amazon Bedrock untuk melakukan hal berikut:
+ Panggil model yang Anda pilih untuk pembuatan keluaran dengan aksi `RetrieveAndGenerate` API, dan evaluasi output basis pengetahuan.
+ Memanggil Basis Pengetahuan Amazon Bedrock `Retrieve` dan tindakan `RetrieveAndGenerate` API pada instance basis pengetahuan Anda.
Untuk membuat peran layanan kustom, lihat [Membuat peran yang menggunakan kebijakan kepercayaan khusus](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) di *Panduan Pengguna IAM*.
**Tindakan IAM yang diperlukan untuk akses Amazon S3**
Contoh kebijakan berikut memberikan akses ke bucket S3 di mana kedua hal berikut terjadi:
+ Anda menyimpan hasil evaluasi basis pengetahuan Anda.
+ Amazon Bedrock membaca kumpulan data masukan Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket"
],
"Resource":
[
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource":
[
"arn:aws:s3:::my_output_bucket",
"arn:aws:s3:::my_output_bucket/myfolder"
]
}
]
}
```
------
**Tindakan IAM Amazon Bedrock yang diperlukan**
Anda juga perlu membuat kebijakan yang memungkinkan Amazon Bedrock melakukan hal berikut:
1. Panggil model yang Anda rencanakan untuk ditentukan sebagai berikut:
+ Pembuatan hasil dengan aksi `RetrieveAndGenerate` API.
+ Evaluasi hasil.
Untuk `Resource` kunci dalam kebijakan, Anda harus menentukan setidaknya satu ARN dari model yang dapat Anda akses. Untuk menggunakan model yang dienkripsi dengan kunci KMS yang dikelola pelanggan, Anda harus menambahkan tindakan dan sumber daya IAM yang diperlukan ke kebijakan peran layanan IAM. Anda juga harus menambahkan peran layanan ke kebijakan AWS KMS kunci.
1. Panggil tindakan `Retrieve` dan `RetrieveAndGenerate` API. Perhatikan bahwa, dalam pembuatan peran otomatis di konsol, kami memberikan izin untuk tindakan keduanya `Retrieve` dan `RetrieveAndGenerate` API, terlepas dari tindakan yang Anda pilih untuk dievaluasi untuk pekerjaan itu. Dengan demikian, kami memberikan fleksibilitas dan penggunaan kembali tambahan untuk peran itu. Namun, untuk keamanan tambahan, peran yang dibuat secara otomatis itu terkait dengan satu instance basis pengetahuan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificModels",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:GetImportedModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*",
"arn:aws:bedrock:us-east-1:123456789012:inference-profile/*",
"arn:aws:bedrock:us-east-1:123456789012:provisioned-model/*",
"arn:aws:bedrock:us-east-1:123456789012:imported-model/*",
"arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/*"
]
},
{
"Sid": "AllowKnowledgeBaseAPis",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve",
"bedrock:RetrieveAndGenerate"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id"
]
}
]
}
```
------
**Persyaratan Utama Layanan**
Anda juga harus menentukan kebijakan kepercayaan yang mendefinisikan Amazon Bedrock sebagai prinsipal layanan. Kebijakan ini memungkinkan Amazon Bedrock untuk mengambil peran tersebut. Pekerjaan evaluasi model wildcard (`*`) ARN diperlukan agar Amazon Bedrock dapat membuat pekerjaan evaluasi model di akun Anda. AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
}
}
}
]
}
```
------