Berechtigungen für die Neuordnung in Amazon Bedrock - Amazon Bedrock

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für die Neuordnung in Amazon Bedrock

Ein Benutzer benötigt die folgenden Berechtigungen, um das Reranking (Neuordnung) nutzen zu können:

  • Zugriff auf die Reranking-Modelle, die sie verwenden möchten. Weitere Informationen finden Sie unter Zugriff auf Amazon-Bedrock-Basismodelle.

  • Berechtigungen für ihre Rolle und, falls sie planen, Reranking in einem Retrieve-Workflow zu verwenden, Berechtigungen für die Servicerolle von Wissensdatenbanken für Amazon Bedrock, die in einem Vertrauensverhältnis zu ihrer Rolle steht.

    Tipp

    Sie können die erforderlichen Berechtigungen schnell konfigurieren, indem Sie wie folgt vorgehen:

    Wichtig

    Wenn Sie Reranking in einem Retrieve-Workflow mit einer Servicerolle von Wissensdatenbanken für Amazon Bedrock verwenden, beachten Sie Folgendes:

    • Wenn Sie die AWS Identity and Access Management (IAM) -Richtlinie, die Amazon Bedrock für Ihre Wissensdatenbank-Servicerolle erstellt hat, manuell bearbeiten, können Fehler auftreten, wenn Sie versuchen, die Berechtigungen in der zu aktualisieren. AWS-Managementkonsole Zur Behebung dieses Problems löschen Sie in der IAM-Konsole die Richtlinienversion, die Sie manuell erstellt haben. Aktualisieren Sie anschließend die Seite „Reranker“ in der Amazon-Bedrock-Konsole und versuchen Sie es erneut.

    • Wenn Sie eine benutzerdefinierte Rolle verwenden, kann Amazon Bedrock die Servicerolle der Wissensdatenbank nicht in Ihrem Namen aktualisieren. Stellen Sie sicher, dass die Berechtigungen für die Servicerolle richtig konfiguriert sind.

    Eine Zusammenfassung der Anwendungsfälle und der dafür erforderlichen Berechtigungen finden Sie in der folgenden Tabelle:

    Anwendungsfall Benutzerberechtigungen erforderlich Berechtigungen für die Servicerolle von Wissensdatenbanken für Amazon Bedrock erforderlich
    Unabhängiges Verwenden von Reranking

    • bedrock:Rerank

    • bedrock:InvokeModel, optional mit Bezug auf Modelle, die neu bewertet werden
    Verwenden von Reranking in einem Retrieve-Workflow

    • bedrock:Retrieve

    • bedrock:Rerank

    • Grundgestein:, optional mit Bezug auf die neu InvokeModel eingestuften Modelle
    Verwenden von Reranking in einem RetrieveAndGenerate-Workflow

    • Grundgestein: RetrieveAndGenerate

    • bedrock:Rerank

    • Grundgestein:InvokeModel, optional auf die Modelle, die neu bewertet werden, und auf die Modelle, die zur Generierung von Antworten verwendet werden sollen, beschränkt.

Beispiele für Berechtigungsrichtlinien, die Sie einer IAM-Rolle anhängen können, finden Sie, indem Sie den Abschnitt erweitern, der Ihrem Anwendungsfall entspricht:

Wenn Sie Rerank direkt mit einer Liste von Quellen verwenden möchten, benötigt die Benutzerrolle Berechtigungen sowohl für die Aktion bedrock:Rerank als auch die Aktion bedrock:InvokeModel. Damit die Verwendung eines Reranking-Modells verhindert wird, müssen Sie Berechtigungen für beide Aktionen verweigern. Damit die Benutzerrolle ein Reranking-Modell unabhängig verwenden kann, können Sie der Rolle die folgende Richtlinie anfügen:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/model-id"
            ]
        }
    ]
}

In der vorherigen Richtlinie beschränken Sie die Berechtigungen für die Aktion bedrock:InvokeModel auf die Modelle, die von der Rolle für das Reranking verwendet werden können. Um den Zugriff auf alle Modelle zu ermöglichen, verwenden Sie einen Platzhalter () in dem Feld. * Resource

Zur Verwendung von Reranking beim Abrufen von Daten aus einer Wissensdatenbank müssen Sie die folgenden Berechtigungen einrichten:

Für die Benutzerrolle

Die Benutzerrolle benötigt Berechtigungen, um die Aktion bedrock:Retrieve verwenden zu können. Damit die Benutzerrolle Daten aus einer Wissensdatenbank abrufen kann, können Sie der Rolle die folgende Richtlinie anhängen:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
            ]
        }
    ]
}

In der vorherigen Richtlinie beschränken Sie die Berechtigungen für die Aktion bedrock:Retrieve auf die Wissensdatenbanken, aus denen die Rolle Informationen abrufen darf. Um den Zugriff auf alle Wissensdatenbanken zu ermöglichen, können Sie in dem Feld einen Platzhalter (*) verwenden. Resource

Für die Servicerolle

Die Servicerolle von Wissensdatenbanken für Amazon Bedrock, die der Benutzer verwendet, benötigt Berechtigungen zur Verwendung der Aktionen bedrock:Rerank und bedrock:InvokeModel. Sie können die Amazon-Bedrock-Konsole verwenden, um die Berechtigungen für Ihre Servicerolle automatisch zu konfigurieren, wenn Sie bei der Konfiguration von Wissensdatenbankabrufen ein Reranking-Modell auswählen. Sie können der Servicerolle andernfalls die folgende Richtlinie anfügen, um ihr zu ermöglichen, Quellen während des Abrufs neu zu ordnen:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId"
        }
    ]
}

In der vorherigen Richtlinie beschränken Sie die Berechtigungen für die Aktion bedrock:InvokeModel auf die Modelle, die von der Rolle für das Reranking verwendet werden können. Wenn Sie den Zugriff auf alle Modelle ermöglichen möchten, können Sie einen Platzhalter (*) im Feld Resource verwenden.

Damit Sie beim Abrufen von Daten aus einer Wissensdatenbank und beim anschließenden Generieren von Antworten auf der Grundlage der abgerufenen Ergebnisse ein Reranking-Modell verwenden können, benötigt die Benutzerrolle Berechtigungen zur Verwendung der Aktionen bedrock:RetrieveAndGenerate, bedrock:Rerank und bedrock:InvokeModel. Damit beim Abruf eine Neuordnung von Quellen und die Generierung von Antworten auf der Grundlage der Ergebnisse ermöglicht werden, können Sie der Benutzerrolle die folgende Richtlinie anfügen:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankRetrieveAndGenerateSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/GenerationModelId}"
            ]
        }
    ]
}

In der vorherigen Richtlinie beschränken Sie die Berechtigungen für die bedrock:InvokeModel-Operation auf die Modelle, die von der Rolle für das Reranking verwendet werden dürfen, und auf die Modelle, die die Rolle zum Generieren von Antworten verwenden darf. Um den Zugriff auf alle Modelle zu ermöglichen, können Sie in dem Feld einen Platzhalter (*) verwenden. Resource

Wenn Sie Berechtigungen weiter einschränken möchten, können Sie Aktionen weglassen oder Ressourcen und Bedingungsschlüssel angeben, nach denen Berechtigungen gefiltert werden sollen. Weitere Informationen über Aktionen, Ressourcen und Bedingungsschlüssel finden Sie in den folgenden Themen in der Referenz zur Serviceautorisierung: