

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Einrichten von Berechtigungen für einen Benutzer oder eine Rolle zum Erstellen und Verwalten von Wissensdatenbanken
<a name="knowledge-base-prereq-permissions-general"></a>

Damit ein Benutzer oder eine Rolle Aktionen im Zusammenhang mit Wissensdatenbanken für Amazon Bedrock ausführen kann, müssen Sie diesem Benutzer oder dieser Rolle Richtlinien anfügen, die Berechtigungen zur Durchführung der Aktionen gewähren. Es werden Berechtigungen beschrieben, die es einem Benutzer erlauben, Informationen aus diesen Wissensdatenbanken abzurufen und Antworten daraus zu generieren.

Erweitern Sie die folgenden Abschnitte, um zu erfahren, wie Sie Berechtigungen für bestimmte Anwendungsfälle einrichten:

## Zulassen, dass eine Rolle Wissensdatenbanken erstellt und diese verwaltet
<a name="w2aac32c10c21b7b1"></a>

Damit eine IAM-Rolle eine Wissensdatenbank erstellen, sie mit einem strukturierten Datenspeicher verbinden, die Wissensdatenbank verwalten und Erfassungsaufträge von der Datenquelle bis zur Wissensdatenbank starten und verwalten kann, müssen Sie Berechtigungen für die Aktionen `KnowledgeBase`, `DataSource` und `IngestionJob` bereitstellen. Wenn Sie Berechtigungen für das Markieren von Wissensdatenbanken bereitstellen möchten, müssen Sie auch Berechtigungen für die Aktionen `bedrock:TagResource` und `bedrock:UntagResource` angeben. 

**Anmerkung**  
Wenn dem Benutzer oder der Rolle die [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess) AWS verwaltete Richtlinie angehängt ist, können Sie diese Voraussetzung überspringen.

Damit eine Rolle diese Aktionen ausführen kann, fügen Sie der Rolle die folgende Richtlinie an:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateKB",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateKnowledgeBase"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KBDataSourceManagement",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:UpdateKnowledgeBase",
                "bedrock:DeleteKnowledgeBase",
                "bedrock:StartIngestionJob",
                "bedrock:GetIngestionJob",
                "bedrock:ListIngestionJobs",
                "bedrock:StopIngestionJob",
                "bedrock:TagResource",
                "bedrock:UntagResource"
            ],
            "Resource": [
                "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:knowledge-base/{{*}}"
            ]
        }
    ]
}
```

------

Nachdem Sie eine Wissensdatenbank erstellt haben, empfehlen wir, die Berechtigungen in der `KBDataSourceManagement` Anweisung nach unten zu beschränken, indem Sie den Platzhalter ({{\*}}) durch die ID der Wissensdatenbank ersetzen, die Sie erstellt haben.

## Zulassen, dass eine Rolle die API-Operationen der Wissensdatenbank ausführt
<a name="w2aac32c10c21b7b3"></a>

In diesem Abschnitt werden die Berechtigungen beschrieben, die Sie für die Ausführung der API-Operationen `Retrieve` und `RetrieveAndGenerate` für Wissensdatenbanken benötigen.

Fügen Sie der Rolle die folgende Richtlinie hinzu:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GetKB",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetKnowledgeBase"
            ],
            "Resource": [
                "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:knowledge-base/{{${KnowledgeBaseId}}}"
            ]
        },
        {
            "Sid": "Retrieve",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:knowledge-base/{{${KnowledgeBaseId}}}"
            ]
        },
        {
            "Sid": "RetrieveAndGenerate",
            "Effect": "Allow",
            "Action": [
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

Sie können Anweisungen entfernen, die Sie je nach Anwendungsfall nicht benötigen:
+ Die Anweisung `GetKB` wird verwendet, um die Wissensdatenbankinformationen abzurufen.
+ Die Anweisung `Retrieve` muss [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html) aufrufen, um Daten aus Ihrem strukturierten Datenspeicher abzurufen.
+ Die Anweisung `RetrieveAndGenerate` muss [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) aufrufen, um Daten aus Ihrem Datenspeicher abzurufen und Antworten basierend auf den Daten zu generieren.

## Beantragen Sie Zugriff auf Basismodelle für RetrieveAndGenerate
<a name="knowledge-base-prereq-structured-model-access"></a>

Wenn Sie beabsichtigen, Antworten mit [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) auf der Grundlage von abgerufenen Daten aus Ihrer Datenquelle zu generieren, fordern Sie Zugriff auf die Basismodelle an, die Sie für die Generierung verwenden möchten. Folgen Sie dazu den Schritten unter [Zugriff auf Modelle beantragen](model-access.md).

Wenn Sie Berechtigungen weiter einschränken möchten, können Sie Aktionen weglassen oder Ressourcen und Bedingungsschlüssel angeben, nach denen Berechtigungen gefiltert werden sollen. Weitere Informationen über Aktionen, Ressourcen und Bedingungsschlüssel finden Sie in den folgenden Themen in der *Referenz zur Serviceautorisierung*:
+ [Von Amazon Bedrock definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) – Erfahren Sie mehr über Aktionen, die Ressourcentypen, auf die Sie diese im `Resource`-Feld beschränken können, und die Bedingungsschlüssel, nach denen Sie Berechtigungen im `Condition`-Feld filtern können.
+ [Von Amazon Bedrock definierte Ressourcentypen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) – Erfahren Sie mehr über die Ressourcentypen in Amazon Bedrock.
+ [Zustandsschlüssel für Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) – Erfahren Sie mehr über die Zustandsschlüssel in Amazon Bedrock.