As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Para criar um trabalho de avaliação da base de conhecimento, você deve especificar uma função de serviço. A política que você anexa à função concede ao Amazon Bedrock acesso aos recursos em sua conta e permite que o Amazon Bedrock faça o seguinte:
-
Invoque os modelos que você seleciona para geração de saída com a
RetrieveAndGenerate
API ação e avalie as saídas da base de conhecimento. -
Invoque as bases de conhecimento
Retrieve
eRetrieveAndGenerate
API ações do Amazon Bedrock em sua instância de base de conhecimento.
Para criar uma função de serviço personalizada, consulte Criação de uma função que usa políticas de confiança personalizadas no Guia IAM do usuário.
IAMAções necessárias para acesso ao Amazon S3
O exemplo de política a seguir concede acesso aos buckets do S3 em que as duas situações a seguir ocorrem:
-
Você salva os resultados da avaliação da sua base de conhecimento.
-
O Amazon Bedrock lê seu conjunto de dados de entrada.
{
"Version": "2012-10-17",
"Statement":
[
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket"
],
"Resource":
[
"arn:aws:s3:::my_customdataset1_bucket
",
"arn:aws:s3:::my_customdataset1_bucket/myfolder
",
"arn:aws:s3:::my_customdataset2_bucket
",
"arn:aws:s3:::my_customdataset2_bucket/myfolder
"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource":
[
"arn:aws:s3:::my_output_bucket
",
"arn:aws:s3:::my_output_bucket/myfolder
"
]
}
]
}
Ações necessárias do Amazon Bedrock IAM
Você também precisa criar uma política que permita que o Amazon Bedrock faça o seguinte:
-
Invoque os modelos que você planeja especificar para o seguinte:
-
Geração de resultados com a
RetrieveAndGenerate
API ação. -
Avaliação dos resultados.
Para a
Resource
chave na política, você deve especificar pelo menos um ARN de um modelo ao qual você tenha acesso. Para usar um modelo criptografado com uma KMS chave gerenciada pelo cliente, você deve adicionar IAM as ações e os recursos necessários à política de função de IAM serviço. Você também deve adicionar a função de serviço à política de AWS KMS chaves. -
-
Ligue para
Retrieve
asRetrieveAndGenerate
API ações e. Observe que, na criação automática de funções no console, concedemos permissões para ambasRetrieve
eRetrieveAndGenerate
API ações, independentemente da ação que você escolher avaliar para esse trabalho. Ao fazer isso, oferecemos flexibilidade e reutilização adicionais para essa função. No entanto, para maior segurança, essa função criada automaticamente está vinculada a uma única instância da base de conhecimento.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificModels",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:GetImportedModel"
],
"Resource": [
"arn:aws:bedrock:region::foundation-model/*",
"arn:aws:bedrock:region:account-id
:inference-profile/*",
"arn:aws:bedrock:region:account-id
:provisioned-model/*",
"arn:aws:bedrock:region:account-id
:imported-model/*",
"arn:aws:bedrock:region:account-id
:application-inference-profile/*"
]
},
{
"Sid": "AllowKnowledgeBaseAPis",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve",
"bedrock:RetrieveAndGenerate"
],
"Resource": [
"arn:aws:bedrock:region
:account-id
:knowledge-base/knowledge-base-id
"
]
}
]
}
Requisitos principais do serviço
Especifique também uma política de confiança que defina o Amazon Bedrock como a entidade principal de serviço. Essa política permite que o Amazon Bedrock assuma a função. O trabalho de avaliação de modelo wildcard (*
) ARN é necessário para que o Amazon Bedrock possa criar trabalhos de avaliação de modelo em sua AWS conta.
{
"Version": "2012-10-17",
"Statement":
[
{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal":
{
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition":
{
"StringEquals":
{
"aws:SourceAccount": "account-id
"
},
"ArnEquals":
{
"aws:SourceArn": "arn:aws:bedrock:region
:account-id
:evaluation-job/*"
}
}
}
]
}