Einrichten von Berechtigungen für einen Benutzer oder eine Rolle zum Erstellen und Verwalten von Wissensdatenbanken - Amazon Bedrock

Einrichten von Berechtigungen für einen Benutzer oder eine Rolle zum Erstellen und Verwalten von Wissensdatenbanken

Damit ein Benutzer oder eine Rolle Aktionen im Zusammenhang mit Wissensdatenbanken für Amazon Bedrock ausführen kann, müssen Sie diesem Benutzer oder dieser Rolle Richtlinien anfügen, die Berechtigungen zur Durchführung der Aktionen gewähren. Es werden Berechtigungen beschrieben, die es einem Benutzer erlauben, Informationen aus diesen Wissensdatenbanken abzurufen und Antworten daraus zu generieren.

Erweitern Sie die folgenden Abschnitte, um zu erfahren, wie Sie Berechtigungen für bestimmte Anwendungsfälle einrichten:

Damit eine IAM-Rolle eine Wissensdatenbank erstellen, sie mit einem strukturierten Datenspeicher verbinden, die Wissensdatenbank verwalten und Erfassungsaufträge von der Datenquelle bis zur Wissensdatenbank starten und verwalten kann, müssen Sie Berechtigungen für die Aktionen KnowledgeBase, DataSource und IngestionJob bereitstellen. Wenn Sie Berechtigungen für das Markieren von Wissensdatenbanken bereitstellen möchten, müssen Sie auch Berechtigungen für die Aktionen bedrock:TagResource und bedrock:UntagResource angeben.

Anmerkung

Wenn dem Benutzer oder der Rolle die von AWS verwaltete Richtlinie AmazonBedrockFullAccess angefügt ist, können Sie diese Voraussetzung überspringen.

Damit eine Rolle diese Aktionen ausführen kann, fügen Sie der Rolle die folgende Richtlinie an:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateKB",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateKnowledgeBase"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KBDataSourceManagement",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:UpdateKnowledgeBase",
                "bedrock:DeleteKnowledgeBase",
                "bedrock:StartIngestionJob",
                "bedrock:GetIngestionJob",
                "bedrock:ListIngestionJobs",
                "bedrock:StopIngestionJob",
                "bedrock:TagResource",
                "bedrock:UntagResource"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
            ]
        }
    ]
}

Nachdem Sie eine Wissensdatenbank erstellt haben, empfehlen wir, die Berechtigungen in der Anweisung KBDataSourceManagement nach unten zu beschränken, indem Sie den Platzhalter (*) durch die ID der Wissensdatenbank ersetzen, die Sie erstellt haben.

In diesem Abschnitt werden die Berechtigungen beschrieben, die Sie für die Ausführung der API-Operationen Retrieve und RetrieveAndGenerate für Wissensdatenbanken benötigen.

Fügen Sie der Rolle die folgende Richtlinie hinzu:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GetKB",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetKnowledgeBase"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "Retrieve",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "RetrieveAndGenerate",
            "Effect": "Allow",
            "Action": [
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Sie können Anweisungen entfernen, die Sie je nach Anwendungsfall nicht benötigen:

  • Die Anweisung GetKB wird verwendet, um die Wissensdatenbankinformationen abzurufen.

  • Die Anweisung Retrieve muss Retrieve aufrufen, um Daten aus Ihrem strukturierten Datenspeicher abzurufen.

  • Die Anweisung RetrieveAndGenerate muss RetrieveAndGenerate aufrufen, um Daten aus Ihrem Datenspeicher abzurufen und Antworten basierend auf den Daten zu generieren.

Wenn Sie beabsichtigen, Antworten mit RetrieveAndGenerate auf der Grundlage von abgerufenen Daten aus Ihrer Datenquelle zu generieren, fordern Sie Zugriff auf die Basismodelle an, die Sie für die Generierung verwenden möchten. Folgen Sie dazu den Schritten unter Zugriff auf Amazon-Bedrock-Basismodelle.

Wenn Sie Berechtigungen weiter einschränken möchten, können Sie Aktionen weglassen oder Ressourcen und Bedingungsschlüssel angeben, nach denen Berechtigungen gefiltert werden sollen. Weitere Informationen über Aktionen, Ressourcen und Bedingungsschlüssel finden Sie in den folgenden Themen in der Referenz zur Serviceautorisierung: