Création d’un rôle de service pour Amazon Bedrock Flows dans Amazon Bedrock - Amazon Bedrock
Relation d’approbationAutorisations basées sur l’identité pour le rôle de service de flux.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d’un rôle de service pour Amazon Bedrock Flows dans Amazon Bedrock

Vous devez créer et gérer un flux dans Amazon Bedrock à l’aide d’un rôle de service avec les autorisations nécessaires décrites sur cette page. Vous pouvez utiliser un rôle de service qu’Amazon Bedrock crée automatiquement pour vous dans la console ou un rôle que vous personnalisez vous-même.

Note

Si vous utilisez le rôle de service qu’Amazon Bedrock crée automatiquement pour vous dans la console, les autorisations sont attachées de manière dynamique si vous ajoutez des nœuds à votre flux et que vous enregistrez ce dernier. Toutefois, si vous supprimez des nœuds, les autorisations ne sont pas supprimées. Vous devez donc supprimer les autorisations dont vous n’avez plus besoin. Pour gérer les autorisations associées au rôle créé pour vous, suivez les étapes sous Modification d’un rôle dans le Guide de l’utilisateur IAM.

Pour créer un rôle de service personnalisé pour Amazon Bedrock Flows, créez un rôle IAM en suivant les étapes de la section Création d'un rôle pour déléguer des autorisations à un AWS service. Attachez ensuite les autorisations suivantes au rôle.

  • Politique d’approbation

  • Les autorisations basées sur l’identité suivantes :

    • Accès aux modèles de base Amazon Bedrock que le flux utilisera. Ajoutez chaque modèle utilisé dans le flux à la liste Resource.

    • Si vous invoquez un modèle utilisant du débit alloué, les autorisations nécessaires pour accéder au modèle alloué et l’invoquer. Ajoutez chaque modèle utilisé dans le flux à la liste Resource.

    • Si vous invoquez un modèle personnalisé, les autorisations nécessaires pour accéder au modèle personnalisé et l’invoquer. Ajoutez chaque modèle utilisé dans le flux à la liste Resource.

    • Autorisations basées sur les nœuds que vous ajoutez au flux :

      • Si vous incluez des nœuds d’invite qui utilisent des invites de Prompt Management, vous devez disposer d’autorisations pour accéder à l’invite. Ajoutez chaque invite utilisée dans le flux à la liste Resource.

      • Si vous incluez des nœuds de base de connaissances, vous devez disposer d’autorisations pour interroger la base de connaissances. Ajoutez chaque base de connaissances interrogée dans le flux à la liste Resource.

      • Si vous incluez des nœuds d’agent, vous devez disposer d’autorisations pour invoquer un alias de l’agent. Ajoutez chaque agent invoqué dans le flux à la liste Resource.

      • Si vous incluez des nœuds de récupération S3, vous devez disposer d’autorisations pour accéder au compartiment Amazon S3 à partir duquel les données sont récupérées. Ajoutez chaque compartiment à partir duquel des données sont récupérées à la liste Resource.

      • Si vous incluez des nœuds de stockage S3, vous devez disposer d’autorisations pour écrire dans le compartiment Amazon S3 dans lequel les données de sortie sont stockées. Ajoutez chaque compartiment dans lequel des données sont écrites à la liste Resource.

      • Si vous incluez des barrières de protection pour un nœud de base de connaissances ou un nœud d’invite, vous devez disposer d’autorisations pour les appliquer dans un flux. Ajoutez chaque barrière de protection utilisée dans le flux à la liste Resource.

      • Si vous incluez des nœuds Lambda, vous devez disposer d’autorisations pour invoquer la fonction Lambda. Ajoutez chaque fonction Lambda à invoquer à la liste Resource.

      • Si vous incluez des nœuds Amazon Lex, vous devez disposer d’autorisations pour utiliser le bot Amazon Lex. Ajoutez chaque alias de bot à utiliser à la liste Resource.

      • Si vous avez chiffré une ressource invoquée dans un flux, vous devez disposer d’autorisations pour déchiffrer la clé. Ajoutez chaque clé à la liste Resource.

  • Si vous chiffrez le flux, vous devez également attacher une stratégie de clé à la clé KMS vous permettant de chiffrer le flux.

Note

Les modifications suivantes ont été implémentées récemment :

  • Auparavant, AWS Lambda les ressources Amazon Lex étaient invoquées à l'aide du principal de service Amazon Bedrock. Ce comportement est en train de changer pour les flux créés après le 22/11/2024 et le rôle de service Amazon Bedrock Flows sera utilisé pour invoquer les ressources et Amazon AWS Lambda Lex. Si vous avez créé des flux utilisant l'une de ces ressources avant le 22/11/2024, vous devez mettre à jour vos rôles de service Amazon Bedrock Flows et les autorisations Amazon AWS Lambda Lex.

  • Auparavant, les ressources Prompt Management s’affichaient à l’aide de l’action bedrock:GetPrompt. Ce comportement est en train de changer pour les flux créés après le 22/11/2024 et l’action bedrock:RenderPrompt permettra d’afficher la ressource d’invite. Si vous avez créé des flux utilisant une ressource d’invite avant le 22/11/2024, vous devez mettre à jour vos rôles de service Amazon Bedrock Flows avec des autorisations bedrock:RenderPrompt.

Si vous utilisez un rôle de service qu’Amazon Bedrock a automatiquement créé pour vous dans la console, Amazon Bedrock attache les autorisations corrigées de manière dynamique lorsque vous enregistrez le flux.

Relation d’approbation

Associez la politique d’approbation suivante au rôle d’exécution de flux pour permettre à Amazon Bedrock d’endosser ce rôle et de gérer un flux. Remplacez-les values si nécessaire. La politique contient des clés de condition facultatives (consultez Clés de condition pour Amazon Bedrock et Clés de contexte de condition globale AWS) dans le champ Condition que nous vous recommandons d’utiliser comme bonne pratique de sécurité.

Note

Il est recommandé de remplacer le * par un ID de flux après l'avoir créé.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FlowsTrustBedrock",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:flow/*"
                }
            }
        }
    ]
}

Autorisations basées sur l’identité pour le rôle de service de flux.

Joignez la politique suivante pour fournir des autorisations pour le rôle de service, values en la remplaçant si nécessaire. La politique contient les instructions suivantes : Omettez une instruction si elle ne s’applique pas à votre cas d’utilisation. La politique contient des clés de condition facultatives (consultez Clés de condition pour Amazon Bedrock et Clés de contexte de condition globale AWS) dans le champ Condition que nous vous recommandons d’utiliser comme bonne pratique de sécurité.

  • Accès aux modèles de base Amazon Bedrock que le flux utilisera. Ajoutez chaque modèle utilisé dans le flux à la liste Resource.

  • Si vous invoquez un modèle utilisant du débit alloué, les autorisations nécessaires pour accéder au modèle alloué et l’invoquer. Ajoutez chaque modèle utilisé dans le flux à la liste Resource.

  • Si vous invoquez un modèle personnalisé, les autorisations nécessaires pour accéder au modèle personnalisé et l’invoquer. Ajoutez chaque modèle utilisé dans le flux à la liste Resource.

  • Autorisations basées sur les nœuds que vous ajoutez au flux :

    • Si vous incluez des nœuds d’invite qui utilisent des invites de Prompt Management, vous devez disposer d’autorisations pour accéder à l’invite. Ajoutez chaque invite utilisée dans le flux à la liste Resource.

    • Si vous incluez des nœuds de base de connaissances, vous devez disposer d’autorisations pour interroger la base de connaissances. Ajoutez chaque base de connaissances interrogée dans le flux à la liste Resource.

    • Si vous incluez des nœuds d’agent, vous devez disposer d’autorisations pour invoquer un alias de l’agent. Ajoutez chaque agent invoqué dans le flux à la liste Resource.

    • Si vous incluez des nœuds de récupération S3, vous devez disposer d’autorisations pour accéder au compartiment Amazon S3 à partir duquel les données sont récupérées. Ajoutez chaque compartiment à partir duquel des données sont récupérées à la liste Resource.

    • Si vous incluez des nœuds de stockage S3, vous devez disposer d’autorisations pour écrire dans le compartiment Amazon S3 dans lequel les données de sortie sont stockées. Ajoutez chaque compartiment dans lequel des données sont écrites à la liste Resource.

    • Si vous incluez des barrières de protection pour un nœud de base de connaissances ou un nœud d’invite, vous devez disposer d’autorisations pour les appliquer dans un flux. Ajoutez chaque barrière de protection utilisée dans le flux à la liste Resource.

    • Si vous incluez des nœuds Lambda, vous devez disposer d’autorisations pour invoquer la fonction Lambda. Ajoutez chaque fonction Lambda à invoquer à la liste Resource.

    • Si vous incluez des nœuds Amazon Lex, vous devez disposer d’autorisations pour utiliser le bot Amazon Lex. Ajoutez chaque alias de bot à utiliser à la liste Resource.

    • Si vous avez chiffré une ressource invoquée dans un flux, vous devez disposer d’autorisations pour déchiffrer la clé. Ajoutez chaque clé à la liste Resource.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "InvokeModel",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/ModelId"
            ]
        },
        {
            "Sid": "InvokeProvisionedThroughput",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:GetProvisionedModelThroughput"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:provisioned-model/ModelId"
            ]
        },
        {
            "Sid": "InvokeCustomModel",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:GetCustomModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:custom-model/ModelId"
            ]
        },
        {
            "Sid": "UsePromptFromPromptManagement",
            "Effect": "Allow",
            "Action": [
                "bedrock:RenderPrompt"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:prompt/PromptId"
            ]
        },
        {
            "Sid": "QueryKnowledgeBase",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
            ]
        },
        {
            "Sid": "InvokeAgent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:agent-alias/AgentId/AgentAliasId"
            ]
        },
        {
            "Sid": "AccessS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        },
        {
            "Sid": "WriteToS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        },
        {
            "Sid": "GuardrailPermissions",
            "Effect": "Allow",
            "Action": [
                "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:guardrail/GuardrailId"
            ]
        },
        {
            "Sid": "LambdaPermissions",
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:us-east-1:123456789012:function:FunctionId"
            ]
        },
        {
            "Sid": "AmazonLexPermissions",
            "Effect": "Allow",
            "Action": [
                "lex:RecognizeUtterance"
            ],
            "Resource": [ 
                "arn:aws:lex:us-east-1:123456789012:bot-alias/BotId/BotAliasId"
            ]
        },
        {
            "Sid": "KMSPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/KeyId"
            ],
             "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}