Voraussetzungen für das Prompt-Management - Amazon Bedrock

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen für das Prompt-Management

Damit eine Rolle das Prompt-Management nutzen kann, müssen Sie ihr die Ausführung bestimmter API-Aktionen erlauben. Überprüfen Sie die folgenden Voraussetzungen und erfüllen Sie diejenigen, die für Ihren Anwendungsfall gelten:

  1. Wenn an Ihre Rolle die AmazonBedrockFullAccessAWSverwaltete Richtlinie angehängt ist, können Sie diesen Abschnitt überspringen. Folgen Sie andernfalls den Schritten unter Aktualisieren der Berechtigungsrichtlinie für eine Rolle und fügen Sie einer Rolle die folgende Richtlinie an, um Berechtigungen zur Durchführung von Aktionen im Zusammenhang mit dem Prompt-Management zu gewähren:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PromptManagementPermissions",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreatePrompt",
                "bedrock:UpdatePrompt",
                "bedrock:GetPrompt",
                "bedrock:ListPrompts",
                "bedrock:DeletePrompt",
                "bedrock:CreatePromptVersion",
                "bedrock:OptimizePrompt",
                "bedrock:GetFoundationModel",
                "bedrock:ListFoundationModels",
                "bedrock:GetInferenceProfile",
                "bedrock:ListInferenceProfiles",
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:RenderPrompt",
                "bedrock:TagResource",
                "bedrock:UntagResource",
                "bedrock:ListTagsForResource"
            ],
            "Resource": "*"
        }
    ]
}

    Wenn Sie Berechtigungen weiter einschränken möchten, können Sie Aktionen weglassen oder Ressourcen und Bedingungsschlüssel angeben, nach denen Berechtigungen gefiltert werden sollen. Weitere Informationen über Aktionen, Ressourcen und Bedingungsschlüssel finden Sie in den folgenden Themen in der Referenz zur Serviceautorisierung:

    Anmerkung

    • Wenn Sie planen, Ihren Prompt mithilfe der Converse-API bereitzustellen, finden Sie weitere Informationen unter Voraussetzungen für die Ausführung der Modellinferenz. Hier erfahren Sie mehr über die Berechtigungen, die Sie zum Aufrufen eines Prompts einrichten müssen.

    • Wenn Sie planen, einen Flow in Amazon Bedrock Flows zu verwenden, um Ihren Prompt bereitzustellen, finden Sie weitere Informationen unter Voraussetzungen für Amazon Bedrock Flows. Hier erfahren Sie mehr über die Berechtigungen, die Sie einrichten müssen, um einen Flow zu erstellen.

  2. Wenn Sie Ihre Eingabeaufforderung mit einem vom Kunden verwalteten Schlüssel verschlüsseln möchten, anstatt einen zu verwenden Von AWS verwalteter Schlüssel (weitere Informationen finden Sie unter AWS KMSSchlüssel), erstellen Sie die folgenden Richtlinien:

    1. Folgen Sie den Schritten unter Erstellen einer Schlüsselrichtlinie und hängen Sie die folgende Schlüsselrichtlinie an einen KMS-Schlüssel an, damit Amazon Bedrock eine Aufforderung mit dem Schlüssel verschlüsseln und entschlüsseln kann und den Schlüssel nach Bedarf ersetzt. values Die Richtlinie enthält optionale Bedingungsschlüssel (siehe Bedingungsschlüssel für Amazon Bedrock und Globale AWS-Bedingungskontextschlüssel) im Feld Condition, deren Verwendung wir aus Sicherheitsgründen empfehlen.

      {
    "Sid": "EncryptFlowKMS",
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:bedrock-prompts:arn": "arn:${partition}:bedrock:${region}:${account-id}:prompt/${prompt-id}"
        }
    }
}

    2. Folgen Sie den Schritten unter Aktualisieren Sie die Berechtigungsrichtlinie für eine Rolle und fügen Sie der Prompt-Verwaltungsrolle die folgende Richtlinie bei. Ersetzen Sie die Richtlinie nach values Bedarf, damit sie den vom Kunden verwalteten Schlüssel für eine Aufforderung generieren und entschlüsseln kann. Die Richtlinie enthält optionale Bedingungsschlüssel (siehe Bedingungsschlüssel für Amazon Bedrock und Globale AWS-Bedingungskontextschlüssel) im Feld Condition, deren Verwendung wir aus Sicherheitsgründen empfehlen.

      {
    "Sid": "KMSPermissions",
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": [
        "arn:aws:kms:${region}:${account-id}:key/${key-id}"
    ],
     "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${account-id}"
        }
    }
}