Permisos de reclasificación en Amazon Bedrock - Amazon Bedrock

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos de reclasificación en Amazon Bedrock

Un usuario requiere los siguientes permisos para utilizar la reclasificación:

  • Acceso a los modelos de reclasificación que tiene previsto usar Para obtener más información, consulte Acceso a los modelos fundacionales de Amazon Bedrock.

  • Permisos para su rol y, si tiene previsto utilizar la reclasificación en un flujo de trabajo de Retrieve, permisos para el rol de servicio de Bases de conocimiento de Amazon Bedrock que tenga una relación de confianza con su rol

    sugerencia

    Para configurar los permisos necesarios de forma rápida, puede realizar lo siguiente:

    importante

    Cuando utilice la reclasificación en un flujo de trabajo Retrieve con un rol de servicio de Bases de conocimiento de Amazon Bedrock, tenga en cuenta lo siguiente:

    • Si edita manualmente la política AWS Identity and Access Management (IAM) que Amazon Bedrock creó para su función de servicio de base de conocimientos, es posible que se produzcan errores al intentar actualizar los permisos en. Consola de administración de AWS Para resolver este problema, en la consola de IAM, elimine la versión de la política que creó manualmente. A continuación, actualice la página del reclasificador en la consola de Amazon Bedrock y vuelva a intentarlo.

    • Si utiliza un rol personalizado, Amazon Bedrock no podrá actualizar el rol del servicio de la base de conocimiento en su nombre. Asegúrese de que los permisos estén configurados de forma adecuada para el rol de servicio.

    Para obtener un resumen de los casos de uso y los permisos necesarios para ellos, consulte la siguiente tabla:

    Caso de uso Permisos de usuario necesarios Permisos del rol de servicio de Bases de conocimientos de Amazon Bedrock necesarios
    Uso de la reclasificación de forma independiente

    • bedrock:Rerank

    • bedrock:InvokeModel, opcionalmente, se basa en los modelos de reclasificación

    		 N/A
    Uso de la reclasificación en un flujo de trabajo de Retrieve

    • bedrock:Retrieve

    • bedrock:Rerank

    • roca madre:InvokeModel, opcionalmente, incluida en el ámbito de los modelos de reclasificación
    Uso de la reclasificación en un flujo de trabajo de RetrieveAndGenerate

    • roca madre: RetrieveAndGenerate

    • bedrock:Rerank

    • base:, opcionalmenteInvokeModel, se basa en los modelos de reclasificación y en los modelos que se utilizarán para generar respuestas.

    		 N/A

Para ver políticas de permisos de ejemplo que puede asociar a un rol de IAM, amplíe la sección que se corresponda con su caso de uso:

Para usar Rerank con una lista de orígenes, el rol de usuario necesita permisos para usar las acciones bedrock:Rerank y bedrock:InvokeModel. Del mismo modo, para evitar el uso de un modelo de reclasificación, debe denegar los permisos para ambas acciones. Para permitir que el rol de usuario utilice un modelo de reclasificación de forma independiente, puede asociar la siguiente política al rol:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/model-id"
            ]
        }
    ]
}

En la política anterior, para la acción bedrock:InvokeModel, debe limitar los permisos a los modelos que desee permitir que el rol utilice para la reclasificación. Para permitir el acceso a todos los modelos, utilice un comodín () * en el campo. Resource

Para usar la reclasificación al recuperar los datos de una base de conocimiento, debe configurar los siguientes permisos:

Para el rol de usuario

El rol de usuario necesita permisos para usar la acción bedrock:Retrieve. Para permitir que el rol de usuario recupere datos de una base de conocimiento, puede asociar la siguiente política al rol:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
            ]
        }
    ]
}

En la política anterior, para la acción bedrock:Retrieve, debe limitar los permisos a las bases de conocimiento desde las que desea permitir que el rol recupere información. Para permitir el acceso a todas las bases de conocimiento, puede utilizar un comodín (*) en el Resource campo.

Para el rol de servicio

El rol de servicio de Bases de conocimiento de Amazon Bedrock que utiliza el usuario necesita permisos para usar las acciones bedrock:Rerank y bedrock:InvokeModel. Puede utilizar la consola de Amazon Bedrock para configurar automáticamente los permisos para su rol de servicio cuando elija un modelo de reclasificación al configurar la recuperación de la base de conocimiento. De lo contrario, para permitir que el rol de servicio reclasifique los orígenes durante la recuperación, puede asociar la siguiente política:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId"
        }
    ]
}

En la política anterior, para la acción bedrock:InvokeModel, debe limitar los permisos a los modelos que desee permitir que el rol utilice para la reclasificación. Para permitir el acceso a todos los modelos, utilice un comodín (*) en el campo Resource.

Para utilizar un modelo reclasificador al recuperar datos de una base de conocimiento y, posteriormente, generar respuestas en función de los resultados recuperados, el rol de usuario necesita permisos para usar las acciones bedrock:RetrieveAndGenerate, bedrock:Rerank y bedrock:InvokeModel. Para poder reclasificar los orígenes durante la recuperación y generar respuestas en función de los resultados, puede asociar la siguiente política al rol de usuario:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankRetrieveAndGenerateSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/GenerationModelId}"
            ]
        }
    ]
}

En la política anterior, para la operación bedrock:InvokeModel, debe limitar los permisos a los modelos que desea permitir que el rol utilice para la reclasificación y a los modelos que desea permitir que el rol utilice para generar respuestas. Para permitir el acceso a todos los modelos, puede utilizar un comodín (*) en el campo. Resource

Para restringir aún más los permisos, puede omitir acciones o puede especificar recursos y claves de condición para filtrar los permisos. Para obtener más información sobre las acciones, los recursos y las claves de condición, consulte los siguientes temas en la Referencia de autorizaciones de servicio: