本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 创建使用评判模型的模型评测作业所需的服务角色权限
要创建使用 LLM 作为评判工具的模型评测作业,必须指定服务角色。您附加的策略将授予 Amazon Bedrock 访问您账户中资源的权限,并允许 Amazon Bedrock 代表您调用所选模型。
信任策略将 Amazon Bedrock 定义为使用 `bedrock.amazonaws.com` 的服务主体。以下各个策略示例将根据自动模型评测作业中调用的各项服务,为您展示所需的确切 IAM 操作。
要按照如下所述创建自定义服务角色,请参阅《IAM 用户指南》**中的[使用自定义信任策略创建角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)。
## 必要的 Amazon Bedrock IAM 操作
您需要创建一个策略,允许 Amazon Bedrock 调用您计划在模型评测作业中指定的模型。要了解有关管理 Amazon Bedrock 模型访问权限的更多信息,请参阅[请求访问模型](model-access.md)。在策略的 `"Resource"` 部分,您必须至少指定一个您也可以访问的模型的 ARN。要使用客户自主管理型 KMS 密钥加密的模型,您必须在 IAM 服务角色策略中添加所需的 IAM 操作和资源。您还必须将服务角色添加到 AWS KMS 密钥策略中。
服务角色必须包括对至少一个支持的评测器模型的访问权限。有关当前支持的评测器模型列表,请参阅[支持的模型](evaluation-judge.md#evaluation-judge-supported)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BedrockModelInvoke",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*",
"arn:aws:bedrock:us-east-1:111122223333:inference-profile/*",
"arn:aws:bedrock:us-east-1:111122223333:provisioned-model/*",
"arn:aws:bedrock:us-east-1:111122223333:imported-model/*"
]
}
]
}
```
------
## 必要的 Amazon S3 IAM 操作和资源
服务角色策略必须包括对您希望保存模型评测作业输出的 Amazon S3 存储桶的访问权限,以及对您在 `CreateEvaluationJob` 请求中指定的或通过 Amazon Bedrock 控制台指定的提示数据集的访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FetchAndUpdateOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
}
]
}
```
------