Configurar los permisos de un usuario o rol para crear y administrar bases de conocimiento

Para que un usuario o rol realice acciones relacionadas con las bases de conocimiento de Amazon Bedrock, debe adjuntarle políticas que otorguen permisos para realizar las acciones. Describe los permisos que permiten a un usuario recuperar información de estas bases de conocimiento y generar respuestas a partir de ellas.

Amplíe las siguientes secciones para obtener información sobre cómo configurar los permisos para casos de uso específicos:

Para permitir que un rol de IAM cree una base de conocimientos, la conecte a un almacén de datos estructurado, gestione la base de conocimientos e inicie y gestione las tareas de transferencia desde la fuente de datos a la base de conocimientos, debe proporcionar permisos para las acciones KnowledgeBaseDataSource, yIngestionJob. Para proporcionar permisos para etiquetar las bases de conocimiento, incluya los permisos para bedrock:TagResource y. bedrock:UntagResource

nota

Si el usuario o el rol tienen la política AmazonBedrockFullAccess AWS administrada adjunta, puede omitir este requisito previo.

Para permitir que un rol realice estas acciones, asocie la siguiente política al rol:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateKB",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateKnowledgeBase"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KBDataSourceManagement",
            "Effect": "Allow",
            "Action": [  
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:UpdateKnowledgeBase",
                "bedrock:DeleteKnowledgeBase",
                "bedrock:StartIngestionJob",
                "bedrock:GetIngestionJob",
                "bedrock:ListIngestionJobs",
                "bedrock:StopIngestionJob",
                "bedrock:TagResource",
                "bedrock:UntagResource"
            ],
            "Resource": [
                "arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/*"
            ]
        }
    ]   
}

Tras crear una base de conocimientos, le recomendamos que reduzca los permisos de la KBDataSourceManagement declaración sustituyendo el comodín (*) por el ID de la base de conocimientos que ha creado.

En esta sección se describen los permisos que necesita para realizar las operaciones de la RetrieveAndGenerate API Retrieve y las bases de conocimiento.

Adjunte la siguiente política al rol:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetKB",
            "Effect": "Allow",
            "Action": [  
                "bedrock:GetKnowledgeBase"
            ],
            "Resource": [
                "arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "Retrieve",
            "Effect": "Allow",
            "Action": [  
                "bedrock:Retrieve",
            ]
            "Resource": [
                "arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "RetrieveAndGenerate",
            "Effect": "Allow",
            "Action": [  
                "bedrock:RetrieveAndGenerate",
            ]
            "Resource": [
                "*"
            ]
        }
    ]   
}

Puede eliminar las declaraciones que no necesite, según su caso de uso:

La GetKB declaración se utiliza para obtener la información de la base de conocimientos.
La Retrieve declaración es necesaria Retrievepara llamar y recuperar datos del almacén de datos.
La RetrieveAndGenerate declaración es necesaria para llamar RetrieveAndGeneratepara recuperar datos de su banco de datos y generar respuestas basadas en los datos.

Si planea utilizarlos RetrieveAndGeneratepara generar respuestas basadas en los datos recuperados de su fuente de datos, solicite acceso a los modelos básicos que se utilizarán en la generación siguiendo los pasos que se indican enAcceso a los modelos fundacionales de Amazon Bedrock.

Para restringir aún más los permisos, puede omitir acciones o puede especificar los recursos y las claves de condición por las que filtrar los permisos. Para obtener más información sobre las acciones, los recursos y las claves de condición, consulte los siguientes temas de la Referencia de autorización de servicios:

Acciones definidas por Amazon Bedrock: obtenga información sobre las acciones, los tipos de recursos a los que puede asignarlas en el Resource campo y las claves de condición por las que puede filtrar los permisos en el Condition campo.
Tipos de recursos definidos por Amazon Bedrock: obtenga información sobre los tipos de recursos de Amazon Bedrock.
Claves de estado de Amazon Bedrock: obtenga información sobre las claves de estado de Amazon Bedrock.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Chateo con un documento sin necesidad de configurar

Cree una base de conocimientos conectándose a una fuente de datos