Création d’un rôle de service pour les agents Amazon Bedrock - Amazon Bedrock
Relation d’approbationAutorisations basées sur l’identité pour le rôle de service Agents(Facultatif) Politique basée sur l’identité permettant à Amazon Bedrock d’utiliser le débit provisionné avec votre alias d’agent(Facultatif) Politique basée sur l’identité permettant à Amazon Bedrock d’associer et d’invoquer des agents collaborateurs(Facultatif) Politique basée sur l’identité permettant à Amazon Bedrock d’utiliser des barrières de protection avec votre agent(Facultatif) Politique basée sur l’identité permettant à Amazon Bedrock d’accéder aux fichiers depuis S3 afin de les utiliser pour l’interprétation du codePolitique basée sur les ressources permettant à Amazon Bedrock d’invoquer une fonction Lambda de groupe d’actions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d’un rôle de service pour les agents Amazon Bedrock

Pour utiliser un rôle de service personnalisé pour les agents au lieu de celui créé automatiquement par Amazon Bedrock, créez un rôle IAM et associez les autorisations suivantes en suivant les étapes de la section Création d'un rôle pour déléguer des autorisations à un AWS service.

  • Politique d’approbation

  • Politique contenant les autorisations basées sur l’identité suivantes :

    • Accès aux modèles de base Amazon Bedrock

    • Accès aux objets Amazon S3 contenant les schémas OpenAPI pour les groupes d’actions de vos agents

    • Autorisations permettant à Amazon Bedrock d’interroger les bases de connaissances que vous souhaitez associer à vos agents

    • Si l’une des situations suivantes concerne votre cas d’utilisation, ajoutez l’instruction à la politique ou ajoutez une politique avec l’instruction relative au rôle de service :

      • (Facultatif) Si vous activez la collaboration multi-agent, autorisations pour obtenir les alias et invoquer des collaborateurs agents.

      • (Facultatif) Si vous associez un débit provisionné à l’alias de votre agent, vous êtes autorisé à effectuer une invocation de modèle à l’aide de ce débit provisionné.

      • (Facultatif) Si vous associez une barrière de protection à votre agent, autorisations pour appliquer cette barrière de protection. Si la barrière de protection est chiffrée avec une clé KMS, le rôle de service aura également besoin d’autorisations pour déchiffrer la clé.

      • (Facultatif) Si vous chiffrez l’agent avec une clé KMS, autorisations pour déchiffrer la clé.

Que vous utilisiez un rôle personnalisé ou non, vous devez également associer une politique basée sur les ressources aux fonctions Lambda correspondant aux groupes d’actions des agents en accordant des autorisations au rôle de service pour l’accès aux fonctions. Pour de plus amples informations, veuillez consulter Politique basée sur les ressources permettant à Amazon Bedrock d’invoquer une fonction Lambda de groupe d’actions.

Relation d’approbation

La politique suivante permet à Amazon Bedrock d’endosser ce rôle, de créer des agents et de les gérer. Remplacez-les ${values} si nécessaire. La politique contient des clés de condition facultatives (consultez Clés de condition pour Amazon Bedrock et Clés de contexte de condition globale AWS) dans le champ Condition que nous vous recommandons d’utiliser comme bonne pratique de sécurité.

Note

Pour des raisons de sécurité, il est recommandé de les * remplacer par un agent spécifique une IDs fois que vous les avez créés.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:agent/*"
                }
            }
        }
    ]
}

Autorisations basées sur l’identité pour le rôle de service Agents

Joignez la politique suivante pour fournir des autorisations pour le rôle de service, ${values} en la remplaçant si nécessaire. La politique contient les instructions suivantes : Omettez une instruction si elle ne s’applique pas à votre cas d’utilisation. La politique contient des clés de condition facultatives (consultez Clés de condition pour Amazon Bedrock et Clés de contexte de condition globale AWS) dans le champ Condition que nous vous recommandons d’utiliser comme bonne pratique de sécurité.

Note

Si vous chiffrez l’agent avec une clé KMS gérée par le client, consultez Chiffrement des ressources des agents pour les agents créés avant le 22 janvier 2025 pour connaître les autorisations supplémentaires que vous devez ajouter.

  • Autorisations permettant d’utiliser les modèles de fondation Amazon Bedrock pour exécuter l’inférence de modèle sur les invites utilisées dans l’orchestration de votre agent.

  • Autorisations d’accès aux schémas d’API des groupes d’actions de votre agent dans Amazon S3. Omettez cette déclaration si votre agent n’a aucun groupe d’action.

  • Autorisations permettant d’accéder aux bases de connaissances associées à un agent. Omettez cette déclaration si votre agent n’a aucune base de connaissances associée.

  • Autorisations permettant d’accéder à une base de connaissances tierce (Pinecone ou Redis Enterprise Cloud) associée à votre agent. Omettez cette déclaration si votre base de connaissances est de première partie (Amazon OpenSearch Serverless ou Amazon Aurora) ou si votre agent n'a aucune base de connaissances associée.

  • Autorisations permettant d’accéder à une invite depuis la gestion de invites. Omettez cette instruction si vous n’avez pas l’intention de tester une invite issue de la gestion des invites avec votre agent dans la console Amazon Bedrock.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AgentModelInvocationPermissions",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-v2",
                "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-v2:1",
                "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-instant-v1"
            ]
        },
        {
            "Sid": "AgentActionGroupS3",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/SchemaJson"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        },
        {
            "Sid": "AgentKnowledgeBaseQuery",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id"
            ]
        },
        {
            "Sid": "Agent3PKnowledgeBase",
            "Effect": "Allow",
            "Action": [
                "bedrock:AssociateThirdPartyKnowledgeBase"
            ],
            "Resource": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id",
            "Condition": {
                "StringEquals": {
                    "bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
                }
            }
        },
        {
            "Sid": "AgentPromptManagementConsole",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetPrompt"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:prompt/prompt-id"
            ]
        }
    ]
}

(Facultatif) Politique basée sur l’identité permettant à Amazon Bedrock d’utiliser le débit provisionné avec votre alias d’agent

Si vous associez un débit provisionné à un alias de votre agent, associez la politique basée sur l’identité suivante au rôle de service ou ajoutez l’instruction à la politique dans Autorisations basées sur l’identité pour le rôle de service Agents.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {        
        "Sid": "UseProvisionedThroughput",
        "Effect": "Allow",
        "Action": [
            "bedrock:InvokeModel", 
            "bedrock:GetProvisionedModelThroughput"
        ],
        "Resource": [
            "arn:aws:bedrock:us-east-1:123456789012:provisioned-model/${provisioned-model-id}"
        ]
      }
    ]
}

(Facultatif) Politique basée sur l’identité permettant à Amazon Bedrock d’associer et d’invoquer des agents collaborateurs

Si vous activez la collaboration multi-agent, associez la politique basée sur l’identité suivante au rôle de service ou ajoutez la déclaration à la stratégie dans Autorisations basées sur l’identité pour le rôle de service Agents.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonBedrockAgentMultiAgentsPolicyProd",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetAgentAlias",
                "bedrock:InvokeAgent"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:agent-alias/${agent-id}/${agent-alias-id}"
            ]
        }
    ]
}

(Facultatif) Politique basée sur l’identité permettant à Amazon Bedrock d’utiliser des barrières de protection avec votre agent

Si vous associez une barrière de protection à votre agent, associez la politique basée sur l’identité suivante au rôle de service ou ajoutez la déclaration à la politique dans Autorisations basées sur l’identité pour le rôle de service Agents.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ApplyGuardrail",
            "Effect": "Allow",
            "Action": "bedrock:ApplyGuardrail",
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:guardrail/${guardrail-id}"
            ]
        }
    ]
}

(Facultatif) Politique basée sur l’identité permettant à Amazon Bedrock d’accéder aux fichiers depuis S3 afin de les utiliser pour l’interprétation du code

Si vous activez Activation de l’interprétation du code dans Amazon Bedrock, associez la politique basée sur l’identité suivante au rôle de service ou ajoutez l’instruction à la politique dans Identity-based permissions for the Agents service role.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
      {       
        "Sid": "AmazonBedrockAgentFileAccess", 
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:GetObjectVersionAttributes",
            "s3:GetObjectAttributes"
        ],
        "Resource": [
            "arn:aws:s3:::[[customerProvidedS3BucketWithKey]]"
        ]
      }
    ]
}

Politique basée sur les ressources permettant à Amazon Bedrock d’invoquer une fonction Lambda de groupe d’actions

Suivez les étapes décrites dans la section Utilisation de politiques basées sur les ressources pour Lambda et associez la politique basée sur les ressources suivante à une fonction Lambda afin de permettre à Amazon Bedrock d'accéder à la fonction Lambda pour les groupes d'action de votre agent, en remplaçant la si nécessaire. ${values} La politique contient des clés de condition facultatives (consultez Clés de condition pour Amazon Bedrock et Clés de contexte de condition globale AWS) dans le champ Condition que nous vous recommandons d’utiliser comme bonne pratique de sécurité.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AccessLambdaFunction",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:us-east-1:123456789012:function:function-name",
            "Condition": {
                "StringEquals": {
                    "AWS:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
                }
            }
        }
    ]
}