Richten Sie Berechtigungen für einen Benutzer oder eine Rolle ein, um Wissensdatenbanken zu erstellen und zu verwalten - Amazon Bedrock

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie Berechtigungen für einen Benutzer oder eine Rolle ein, um Wissensdatenbanken zu erstellen und zu verwalten

Damit ein Benutzer oder eine Rolle Aktionen im Zusammenhang mit Amazon Bedrock Knowledge Bases ausführen kann, müssen Sie diesem Benutzer oder dieser Rolle Richtlinien beifügen, die Berechtigungen zur Durchführung der Aktionen gewähren. Es beschreibt Berechtigungen, die es einem Benutzer ermöglichen, Informationen aus diesen Wissensdatenbanken abzurufen und Antworten daraus zu generieren.

Erweitern Sie die folgenden Abschnitte, um zu erfahren, wie Sie Berechtigungen für bestimmte Anwendungsfälle einrichten:

Damit eine IAM-Rolle eine Wissensdatenbank erstellen, sie mit einem strukturierten Datenspeicher verbinden, die Wissensdatenbank verwalten und Aufnahmeaufträge von der Datenquelle bis zur Wissensdatenbank starten und verwalten kann, müssen Sie Berechtigungen für die Aktionen KnowledgeBaseDataSource, und bereitstellen. IngestionJob Um Berechtigungen für das Markieren von Wissensdatenbanken bereitzustellen, müssen Sie auch Berechtigungen für und angeben. bedrock:TagResource bedrock:UntagResource

Anmerkung

Wenn dem Benutzer oder der Rolle die AmazonBedrockFullAccess AWS verwaltete Richtlinie zugewiesen wurde, können Sie diese Voraussetzung überspringen.

Damit eine Rolle diese Aktionen ausführen kann, fügen Sie der Rolle die folgende Richtlinie hinzu:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateKB",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateKnowledgeBase"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KBDataSourceManagement",
            "Effect": "Allow",
            "Action": [  
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:UpdateKnowledgeBase",
                "bedrock:DeleteKnowledgeBase",
                "bedrock:StartIngestionJob",
                "bedrock:GetIngestionJob",
                "bedrock:ListIngestionJobs",
                "bedrock:StopIngestionJob",
                "bedrock:TagResource",
                "bedrock:UntagResource"
            ],
            "Resource": [
                "arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/*"
            ]
        }
    ]   
}

Nachdem Sie eine Wissensdatenbank erstellt haben, empfehlen wir, die Berechtigungen in der KBDataSourceManagement Anweisung nach unten zu beschränken, indem Sie den Platzhalter (*) durch die ID der Wissensdatenbank ersetzen, die Sie erstellt haben.

In diesem Abschnitt werden die Berechtigungen beschrieben, die Sie für die Ausführung der Retrieve und RetrieveAndGenerate API-Operationen für Wissensdatenbanken benötigen.

Fügen Sie der Rolle die folgende Richtlinie hinzu:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetKB",
            "Effect": "Allow",
            "Action": [  
                "bedrock:GetKnowledgeBase"
            ],
            "Resource": [
                "arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "Retrieve",
            "Effect": "Allow",
            "Action": [  
                "bedrock:Retrieve",
            ]
            "Resource": [
                "arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "RetrieveAndGenerate",
            "Effect": "Allow",
            "Action": [  
                "bedrock:RetrieveAndGenerate",
            ]
            "Resource": [
                "*"
            ]
        }
    ]   
}

Sie können Anweisungen, die Sie nicht benötigen, je nach Anwendungsfall entfernen:

  • Die GetKB Anweisung wird verwendet, um die Wissensdatenbankinformationen abzurufen.

  • Die Retrieve Anweisung muss aufgerufen werden, Retrieveum Daten aus Ihrem Datenspeicher abzurufen.

  • Die RetrieveAndGenerate Anweisung ist erforderlich, um aufzurufen RetrieveAndGenerate, um Daten aus Ihrem Datenspeicher abzurufen und Antworten auf der Grundlage der Daten zu generieren.

Wenn Sie beabsichtigen, Antworten auf der Grundlage von abgerufenen Daten aus Ihrer Datenquelle zu generieren, fordern Sie Zugriff auf die Basismodelle an, die Sie für die Generierung verwenden können. Gehen Sie dazu wie folgt vorGreifen Sie auf Amazon Bedrock Foundation-Modelle zu. RetrieveAndGenerate

Um die Berechtigungen weiter einzuschränken, können Sie Aktionen auslassen oder Ressourcen und Bedingungsschlüssel angeben, nach denen Berechtigungen gefiltert werden sollen. Weitere Informationen zu Aktionen, Ressourcen und Bedingungsschlüsseln finden Sie in den folgenden Themen in der Service Authorization Reference: