Configuración de los permisos de un usuario o rol para crear y administrar bases de conocimiento - Amazon Bedrock

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de los permisos de un usuario o rol para crear y administrar bases de conocimiento

Para que un usuario o rol realice acciones relacionadas con Bases de conocimiento de Amazon Bedrock, debe asociarle políticas que otorguen permisos para realizar las acciones. Describe los permisos que permiten a un usuario recuperar información de estas bases de conocimiento y generar respuestas a partir de ellas.

Amplíe las siguientes secciones para aprender a configurar permisos para casos de uso específicos:

Para permitir que un rol de IAM cree una base de conocimiento, la conecte a un almacén de datos estructurados, administre la base de conocimiento e inicie y administre los trabajos de ingesta del origen de datos a la base de conocimiento, debe proporcionar permisos para las acciones KnowledgeBase, DataSource e IngestionJob. Para proporcionar permisos para etiquetar las bases de conocimiento, incluya los permisos para bedrock:TagResource y bedrock:UntagResource.

nota

Si el usuario o el rol tienen la política AmazonBedrockFullAccessAWSadministrada adjunta, puede omitir este requisito previo.

Para permitir que un rol realice estas acciones, asocie la siguiente política al rol:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateKB",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateKnowledgeBase"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KBDataSourceManagement",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:UpdateKnowledgeBase",
                "bedrock:DeleteKnowledgeBase",
                "bedrock:StartIngestionJob",
                "bedrock:GetIngestionJob",
                "bedrock:ListIngestionJobs",
                "bedrock:StopIngestionJob",
                "bedrock:TagResource",
                "bedrock:UntagResource"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
            ]
        }
    ]
}

Tras crear una base de conocimientos, le recomendamos que reduzca los permisos de la KBDataSourceManagement declaración sustituyendo el comodín (*) por el ID de la base de conocimientos que ha creado.

En esta sección se describen los permisos que necesita para realizar las operaciones de la API Retrieve y RetrieveAndGenerate para las bases de conocimiento.

Asocie la política siguiente al rol:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GetKB",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetKnowledgeBase"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "Retrieve",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "RetrieveAndGenerate",
            "Effect": "Allow",
            "Action": [
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Puede eliminar las instrucciones que no necesite en función del caso de uso:

  • La instrucción GetKB se utiliza para obtener la información de la base de conocimiento.

  • La instrucción Retrieve es necesaria para llamar a Retrieve para recuperar los datos del almacén de datos.

  • La instrucción RetrieveAndGenerate es necesaria para llamar a RetrieveAndGenerate para recuperar los datos del almacén de datos y generar las respuestas en función de los datos.

Si planea utilizar RetrieveAndGenerate para generar respuestas basadas en los datos recuperados de su origen de datos, solicite acceso a los modelos fundacionales que se utilizarán en la generación siguiendo los pasos que se indican en Acceso a los modelos fundacionales de Amazon Bedrock.

Para restringir aún más los permisos, puede omitir acciones o puede especificar recursos y claves de condición para filtrar los permisos. Para obtener más información sobre las acciones, los recursos y las claves de condición, consulte los siguientes temas en la Referencia de autorizaciones de servicio: