Beispiele für identitätsbasierte Richtlinien für Agenten für Amazon Bedrock - Amazon Bedrock
Erforderliche Berechtigungen für Agenten für Amazon BedrockZulassen, dass Benutzer Informationen über einen Agenten anzeigen und ihn aufrufenSteuern Sie den Zugriff auf Serviceebenen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für identitätsbasierte Richtlinien für Agenten für Amazon Bedrock

Wählen Sie ein Thema aus, um Beispiele für IAM-Richtlinien anzuzeigen, die Sie einer IAM-Rolle zuordnen können, um Berechtigungen für Aktionen in Automatisieren von Aufgaben in einer Anwendung mithilfe von KI-Agenten bereitzustellen.

Erforderliche Berechtigungen für Agenten für Amazon Bedrock

Damit eine IAM-Identität Agenten für Amazon Bedrock verwenden kann, müssen Sie sie mit den erforderlichen Berechtigungen konfigurieren. Sie können die AmazonBedrockFullAccessRichtlinie anhängen, um der Rolle die richtigen Berechtigungen zu gewähren.

Wenn Sie die Berechtigungen einer Rolle nur auf Aktionen beschränken möchten, die in Agenten für Amazon Bedrock verwendet werden, fügen Sie einer IAM-Rolle die folgende identitätsbasierte Richtlinie an:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AgentPermissions",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource", 
                "bedrock:CreateAgent", 
                "bedrock:UpdateAgent", 
                "bedrock:GetAgent", 
                "bedrock:ListAgents", 
                "bedrock:DeleteAgent",
                "bedrock:CreateAgentActionGroup", 
                "bedrock:UpdateAgentActionGroup", 
                "bedrock:GetAgentActionGroup", 
                "bedrock:ListAgentActionGroups", 
                "bedrock:DeleteAgentActionGroup",
                "bedrock:GetAgentVersion",
                "bedrock:ListAgentVersions", 
                "bedrock:DeleteAgentVersion",
                "bedrock:CreateAgentAlias", 
                "bedrock:UpdateAgentAlias",               
                "bedrock:GetAgentAlias",
                "bedrock:ListAgentAliases",
                "bedrock:DeleteAgentAlias",
                "bedrock:AssociateAgentKnowledgeBase",
                "bedrock:DisassociateAgentKnowledgeBase",
                "bedrock:ListAgentKnowledgeBases",
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:PrepareAgent",
                "bedrock:InvokeAgent",
                "bedrock:AssociateAgentCollaborator",
                "bedrock:DisassociateAgentCollaborator",
                "bedrock:GetAgentCollaborator",
                "bedrock:ListAgentCollaborators",
                "bedrock:UpdateAgentCollaborator"
            ],
            "Resource": "*"
        }
    ]   
}

Sie können die Berechtigungen weiter einschränken, indem Sie Aktionen weglassen oder Ressourcen und Bedingungsschlüssel angeben. Eine IAM-Identität kann API-Operationen für bestimmte Ressourcen aufrufen. Beispielsweise kann die UpdateAgent-Operation nur für Agentenressourcen und die InvokeAgent-Operation nur für Aliasressourcen verwendet werden. Geben Sie für API-Operationen, die nicht für einen bestimmten Ressourcentyp (z. B. CreateAgent) verwendet werden, * als Resource an. Wenn Sie eine API-Operation angeben, die nicht für die in der Richtlinie angegebene Ressource verwendet werden kann, gibt Amazon Bedrock einen Fehler zurück.

Zulassen, dass Benutzer Informationen über einen Agenten anzeigen und ihn aufrufen

Im Folgenden finden Sie eine Beispielrichtlinie, die Sie einer IAM-Rolle zuordnen können, damit sie Informationen über einen Agenten mit der ID anzeigen oder bearbeiten AGENT12345 und mit seinem Alias mit der ID ALIAS12345 interagieren kann. Sie könnten diese Richtlinie beispielsweise einer Rolle zuordnen, der Sie nur die Berechtigung zur Fehlerbehebung und Aktualisierung des Agenten zuweisen möchten.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GetAndUpdateAgent",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetAgent",
                "bedrock:UpdateAgent"
            ],
            "Resource": "arn:aws:bedrock:us-east-1:123456789012:agent/AgentId"
        },
        {
            "Sid": "InvokeAgent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": "arn:aws:bedrock:us-east-1:123456789012:agent-alias/AgentId/AgentAliasId"
        }
    ]
}

Steuern Sie den Zugriff auf Serviceebenen

Die Servicestufen von Amazon Bedrock bieten unterschiedliche Stufen der Verarbeitungspriorität und Preisgestaltung für Inferenzanfragen. Standardmäßig stehen alle Servicestufen (Priority, Standard und Flex) Benutzern mit den entsprechenden Bedrock-Berechtigungen zur Verfügung. Dabei wird ein Allowlist-Ansatz verfolgt, bei dem der Zugriff gewährt wird, sofern er nicht ausdrücklich eingeschränkt ist.

Unternehmen möchten jedoch möglicherweise kontrollieren, auf welche Serviceebenen ihre Benutzer zugreifen können, um Kosten zu verwalten oder Nutzungsrichtlinien durchzusetzen. Sie können Zugriffsbeschränkungen implementieren, indem Sie IAM-Richtlinien mit dem bedrock:ServiceTier Bedingungsschlüssel verwenden, um den Zugriff auf bestimmte Serviceebenen zu verweigern. Mit diesem Ansatz behalten Sie die detaillierte Kontrolle darüber, welche Teammitglieder Premium-Servicestufen wie „Priority“ oder kostenoptimierte Stufen wie „Flex“ nutzen können.

Das folgende Beispiel zeigt eine identitätsbasierte Richtlinie, die den Zugriff auf alle Serviceebenen verweigert. Diese Art von Richtlinie ist nützlich, wenn Sie verhindern möchten, dass Benutzer eine Serviceebene angeben, sodass sie gezwungen werden, das Standardverhalten des Systems zu verwenden:

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:InvokeModel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:ServiceTier": ["reserved", "priority", "default", "flex"]
                }
            }
        }
    ]
}

Sie können diese Richtlinie so anpassen, dass nur bestimmten Serviceebenen der Zugriff verweigert wird, indem Sie die bedrock:ServiceTier Bedingungswerte ändern. Um beispielsweise nur die Premium-Stufe „Priorität“ zu verweigern und gleichzeitig „Standard“ und „Flex“ zuzulassen, würden Sie nur ["priority"] in der Bedingung angeben. Dieser flexible Ansatz ermöglicht es Ihnen, Nutzungsrichtlinien zu implementieren, die auf das Kostenmanagement und die betrieblichen Anforderungen Ihres Unternehmens abgestimmt sind. Weitere Informationen zu Servicestufen finden Sie unterServicestufen zur Optimierung von Leistung und Kosten.