Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Requisitos previos para la administración de peticiones
Para que un rol utilice la administración de peticiones, debe permitirle realizar un conjunto determinado de acciones de la API. Consulte los siguientes requisitos previos y cumpla los que se apliquen a su caso de uso:
-
Si su función tiene la política AmazonBedrockFullAccessAWSgestionada adjunta, puede omitir esta sección. De lo contrario, siga los pasos que se indican en Actualizar la política de permisos para un rol y asocie la siguiente política a un rol para proporcionar permisos que permitan realizar acciones relacionadas con la administración de peticiones:
Para restringir aún más los permisos, puede omitir acciones o puede especificar recursos y claves de condición para filtrar los permisos. Para obtener más información sobre las acciones, los recursos y las claves de condición, consulte los siguientes temas en la Referencia de autorizaciones de servicio:
-
Acciones definidas por Amazon Bedrock: obtenga información sobre las acciones, los tipos de recursos a los que puede aplicarlas en el campo
Resourcey las claves de condición que puede usar para filtrar los permisos en el campoCondition. -
Tipos de recursos definidos por Amazon Bedrock: obtenga información sobre los tipos de recursos de Amazon Bedrock.
-
Claves de condición de Amazon Bedrock: obtenga información sobre las claves de condición de Amazon Bedrock.
nota
-
Si planea implementar su petición mediante la API Converse, consulte Requisitos previos para ejecutar la inferencia de modelos para obtener información sobre los permisos que debe configurar para invocar una petición.
-
Si piensa utilizar un flujo de Flujos de Amazon Bedrock para implementar su petición, consulte Requisitos previos de Flujos de Amazon Bedrock para obtener información sobre los permisos que debe configurar para crear un flujo.
-
-
Si planea cifrar su solicitud con una clave administrada por el cliente en lugar de usar una Clave administrada de AWS (para obtener más información, consulte AWS KMSclaves), cree las siguientes políticas:
-
Siga los pasos que se indican en Crear una política de claves y adjunte la siguiente política de claves a una clave de KMS para permitir que Amazon Bedrock cifre y descifre un mensaje con la clave y sustituya la que sea necesario.
valuesLa política contiene claves de condición opcionales (consulte Claves de condición para Amazon Bedrock y Claves de contexto de condición globales de AWS) en el campoConditionque es una práctica de seguridad que recomendamos.{ "Sid": "EncryptFlowKMS", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-prompts:arn": "arn:${partition}:bedrock:${region}:${account-id}:prompt/${prompt-id}" } } } -
Siga los pasos que se indican en Actualizar la política de permisos de un rol y adjunte la siguiente política a la función de gestión rápida, sustituyéndola
valuessegún sea necesario, para que pueda generar y descifrar la clave gestionada por el cliente para una solicitud. La política contiene claves de condición opcionales (consulte Claves de condición para Amazon Bedrock y Claves de contexto de condición globales de AWS) en el campoConditionque es una práctica de seguridad que recomendamos.{ "Sid": "KMSPermissions", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:${region}:${account-id}:key/${key-id}" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${account-id}" } } }
-
