创建使用评判模型的模型评测作业所需的服务角色权限 - Amazon Bedrock
必要的 Amazon Bedrock IAM 操作必要的 Amazon S3 IAM 操作和资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建使用评判模型的模型评测作业所需的服务角色权限

要创建使用 LLM 作为评判工具的模型评测作业,必须指定服务角色。您附加的策略将授予 Amazon Bedrock 访问您账户中资源的权限,并允许 Amazon Bedrock 代表您调用所选模型。

信任策略将 Amazon Bedrock 定义为使用 bedrock.amazonaws.com 的服务主体。以下各个策略示例将根据自动模型评测作业中调用的各项服务,为您展示所需的确切 IAM 操作。

要按照如下所述创建自定义服务角色,请参阅《IAM 用户指南》中的使用自定义信任策略创建角色

必要的 Amazon Bedrock IAM 操作

您需要创建一个策略,允许 Amazon Bedrock 调用您计划在模型评测作业中指定的模型。要了解有关管理 Amazon Bedrock 模型访问权限的更多信息,请参阅访问 Amazon Bedrock 基础模型。在策略的 "Resource" 部分,您必须至少指定一个您也可以访问的模型的 ARN。要使用客户自主管理型 KMS 密钥加密的模型,您必须在 IAM 服务角色策略中添加所需的 IAM 操作和资源。您还必须将服务角色添加到AWS KMS密钥策略中。

服务角色必须包括对至少一个支持的评测器模型的访问权限。有关当前支持的评测器模型列表,请参阅支持的模型

JSON
{
	"Version":"2012-10-17",
	"Statement": [
		{
			"Sid": "BedrockModelInvoke",
			"Effect": "Allow",
			"Action": [
				"bedrock:InvokeModel",
				"bedrock:CreateModelInvocationJob",
				"bedrock:StopModelInvocationJob"
			],
			"Resource": [
				"arn:aws:bedrock:us-east-1::foundation-model/*",
				"arn:aws:bedrock:us-east-1:111122223333:inference-profile/*",
				"arn:aws:bedrock:us-east-1:111122223333:provisioned-model/*",
				"arn:aws:bedrock:us-east-1:111122223333:imported-model/*"
			]
		}
	]
}

必要的 Amazon S3 IAM 操作和资源

服务角色策略必须包括对您希望保存模型评测作业输出的 Amazon S3 存储桶的访问权限,以及对您在 CreateEvaluationJob 请求中指定的或通过 Amazon Bedrock 控制台指定的提示数据集的访问权限。

JSON
{
	"Version":"2012-10-17",
	"Statement": [
		{
			"Sid": "FetchAndUpdateOutputBucket",
			"Effect": "Allow",
			"Action": [
				"s3:GetObject",
				"s3:ListBucket",
				"s3:PutObject",
				"s3:GetBucketLocation",
				"s3:AbortMultipartUpload",
				"s3:ListBucketMultipartUploads"
			],
			"Resource": [
				"arn:aws:s3:::my_customdataset1_bucket",
	            "arn:aws:s3:::my_customdataset1_bucket/myfolder",
	            "arn:aws:s3:::my_customdataset2_bucket",
				"arn:aws:s3:::my_customdataset2_bucket/myfolder"
			]
		}
	]
}