Requisitos previos para la administración de peticiones
Para que un rol utilice la administración de peticiones, debe permitirle realizar un conjunto determinado de acciones de la API. Consulte los siguientes requisitos previos y cumpla los que se apliquen a su caso de uso:
-
Si su rol incluye la política AmazonBedrockFullAccess administrada por AWS, puede omitir este paso. De lo contrario, siga los pasos que se indican en Actualizar la política de permisos para un rol y asocie la siguiente política a un rol para proporcionar permisos que permitan realizar acciones relacionadas con la administración de peticiones:
Para restringir aún más los permisos, puede omitir acciones o puede especificar recursos y claves de condición para filtrar los permisos. Para obtener más información sobre las acciones, los recursos y las claves de condición, consulte los siguientes temas en la Referencia de autorizaciones de servicio:
-
Acciones definidas por Amazon Bedrock: obtenga información sobre las acciones, los tipos de recursos a los que puede aplicarlas en el campo
Resourcey las claves de condición que puede usar para filtrar los permisos en el campoCondition. -
Tipos de recursos definidos por Amazon Bedrock: obtenga información sobre los tipos de recursos de Amazon Bedrock.
-
Claves de condición de Amazon Bedrock: obtenga información sobre las claves de condición de Amazon Bedrock.
nota
-
Si planea implementar su petición mediante la API Converse, consulte Requisitos previos para ejecutar la inferencia de modelos para obtener información sobre los permisos que debe configurar para invocar una petición.
-
Si piensa utilizar un flujo de Flujos de Amazon Bedrock para implementar su petición, consulte Requisitos previos de Flujos de Amazon Bedrock para obtener información sobre los permisos que debe configurar para crear un flujo.
-
-
Si piensa cifrar su petición con una clave administrada por el cliente en lugar de utilizar una Clave administrada de AWS (para obtener más información, consulte Claves de AWS KMS), cree las siguientes políticas:
-
Siga los pasos que se indican en Creación de una política de claves y asocie la siguiente política de claves a una clave de KMS para permitir que Amazon Bedrock cifre y descifre una petición con la clave sustituyendo los
valoressegún sea necesario. La política contiene claves de condición opcionales (consulte Claves de condición para Amazon Bedrock y Claves de contexto de condición globales de AWS) en el campoConditionque es una práctica de seguridad que recomendamos.{ "Sid": "EncryptFlowKMS", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-prompts:arn": "arn:${partition}:bedrock:${region}:${account-id}:prompt/${prompt-id}" } } } -
Siga los pasos que se indican en Actualizar la política de permisos de un rol y asocie la siguiente política al rol de administración de peticiones, sustituyendo los
valoressegún sea necesario, para que se pueda generar y descifrar la clave administrada por el cliente para una petición. La política contiene claves de condición opcionales (consulte Claves de condición para Amazon Bedrock y Claves de contexto de condición globales de AWS) en el campoConditionque es una práctica de seguridad que recomendamos.{ "Sid": "KMSPermissions", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:${region}:${account-id}:key/${key-id}" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${account-id}" } } }
-
