Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d’un rôle de service pour les bases de connaissances Amazon Bedrock
Pour utiliser un rôle personnalisé pour une base de connaissances au lieu de celui créé automatiquement par Amazon Bedrock, créez un rôle IAM et associez les autorisations suivantes en suivant les étapes de la section Création d'un rôle pour déléguer des autorisations à un AWS service. N’incluez que les autorisations nécessaires pour votre propre sécurité.
Note
Une politique ne peut pas être partagée entre plusieurs rôles lorsque le rôle de service est utilisé.
-
Relation d’approbation
-
Accès aux modèles de base Amazon Bedrock
-
Accès à la source de données dans laquelle vous stockez vos données
-
(Si vous créez une base de données vectorielle dans Amazon OpenSearch Service) Accès à votre collection OpenSearch de services
-
(Si vous créez une base de données vectorielles dans Amazon Aurora) Accès à votre cluster Aurora
-
(Si vous créez une base de données vectorielle dans Pinecone ouRedis Enterprise Cloud) Autorisations AWS Secrets Manager pour authentifier votre compte Pinecone OR Redis Enterprise Cloud
-
(Facultatif) Si vous chiffrez l’une des ressources suivantes avec une clé KMS, autorisations permettant de déchiffrer la clé (voir Chiffrement des ressources des bases de connaissances).
-
Votre base de connaissances
-
Sources de données pour votre base de connaissances
-
Votre base de données vectorielle dans Amazon OpenSearch Service
-
Le secret de votre base de données vectorielle tierce dans AWS Secrets Manager
-
Une tâche d’ingestion de données
-
Rubriques
Autorisations pour accéder à votre index GenAI Amazon Kendra
Autorisations d'accès à votre base de données vectorielle dans Amazon OpenSearch Serverless
Autorisations d'accès à votre base de données vectorielle dans OpenSearch Managed Clusters
Autorisations d’accès à votre cluster de bases de données Amazon Aurora
Autorisations permettant d’accéder à votre magasin de vecteurs dans Amazon S3 Vectors
Relation d’approbation
La politique suivante permet à Amazon Bedrock d’endosser ce rôle, de créer des bases de connaissances et de les gérer. L'exemple suivant illustre un exemple de politique que vous pouvez utiliser. Vous pouvez restreindre la portée de l’autorisation en utilisant une ou plusieurs clés contextuelles de condition globale. Pour plus d’informations, consultez Clés contextuelles de condition globale AWS. Définissez la valeur aws:SourceAccount sur l’ID de votre compte. Vous pouvez utiliser la condition ArnEquals ou ArnLike pour limiter le champ d’application à des bases de connaissances spécifiques.
Note
Pour des raisons de sécurité, il est recommandé de les * remplacer par une base de connaissances spécifique une IDs fois que vous les avez créées.
Autorisations d'accès aux modèles Amazon Bedrock
Associez la politique suivante pour accorder au rôle l’autorisation d’utiliser les modèles Amazon Bedrock pour intégrer vos données sources.
Autorisations d’accès aux sources de données
Sélectionnez l’une des sources de données suivantes pour associer les autorisations nécessaires au rôle.
Rubriques
Autorisations d’accès à votre source de données Amazon S3
Si votre source de données est Amazon S3, associez la politique suivante pour accorder au rôle l’autorisation d’accéder au compartiment S3 auquel vous vous connecterez en tant que source de données.
Si vous avez chiffré la source de données à l'aide d'une AWS KMS clé, associez des autorisations pour déchiffrer la clé au Autorisations pour déchiffrer votre AWS KMS clé pour vos sources de données dans Amazon S3 rôle en suivant les étapes décrites dans.
Autorisations d’accès à votre source de données Confluence
Note
Le connecteur de source de données Confluence est proposé en version préliminaire et peut faire l’objet de modifications.
Associez la politique suivante pour accorder au rôle l’autorisation d’accéder à Confluence.
Note
secretsmanager:PutSecretValuen'est nécessaire que si vous utilisez l'authentification OAuth 2.0 avec un jeton d'actualisation.
Le jeton d'accès Confluence OAuth2 2.0 a un délai d'expiration par défaut de 60 minutes. S’il expire alors que votre source de données est en cours de synchronisation (tâche de synchronisation), Amazon Bedrock utilise le jeton d’actualisation fourni pour le régénérer. Cette régénération actualise à la fois les jetons d’accès et ceux d’actualisation. Pour maintenir les jetons à jour entre la tâche de synchronisation en cours et la tâche de synchronisation suivante, Amazon Bedrock a besoin d' write/put autorisations pour vos informations d'identification secrètes.
Autorisations d'accès à votre source SharePoint de données Microsoft
Note
SharePoint le connecteur de source de données est en version préliminaire et est sujet à modification.
Joignez la politique suivante pour fournir des autorisations d'accès au rôle SharePoint.
Autorisations d’accès à votre source de données Salesforce
Note
Le connecteur de source de données Salesforce est proposé en version préliminaire et peut faire l’objet de modifications.
Associez la politique suivante pour accorder au rôle l’autorisation d’accéder à Salesforce.
Autorisations permettant de déchiffrer votre AWS KMS clé pour les sources de données chiffrées dans Amazon S3
Si vous avez chiffré vos sources de données dans Amazon S3 à l'aide d'une AWS KMS clé, associez la politique suivante à votre rôle de service Amazon Bedrock Knowledge Bases afin de permettre à Amazon Bedrock de déchiffrer votre clé. Remplacez ${Region} et ${AccountId} par la région et le numéro de compte auxquels appartient la clé. ${KeyId}Remplacez-le par l'identifiant de votre AWS KMS clé.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:${Region}:${AccountId}:key/${KeyId}" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.${Region}.amazonaws.com" ] } } }] }
Autorisations de discussion avec votre document
Associez la politique suivante pour accorder au rôle l’autorisation d’utiliser les modèles Amazon Bedrock pour discuter avec votre document :
Si vous souhaitez uniquement autoriser un utilisateur à discuter avec votre document (et non à accéder à toutes les bases de connaissances RetrieveAndGenerate), appliquez la politique suivante :
Si vous souhaitez à la fois discuter avec votre document et l'utiliser RetrieveAndGenerate sur une base de connaissances spécifique${KnowledgeBaseArn}, fournissez un et appliquez la politique suivante :
Autorisations pour le contenu multimodal
Lorsque vous travaillez avec du contenu multimodal (images, audio, vidéo), des autorisations supplémentaires sont requises en fonction de votre approche de traitement.
Autorisations Nova Multimodal Embeddings
Lorsque vous utilisez Nova Multimodal Embeddings, attachez la politique suivante pour fournir des autorisations pour l'invocation de modèles asynchrones :
{ "Sid": "BedrockInvokeModelStatement", "Effect": "Allow", "Action": ["bedrock:InvokeModel"], "Resource": [ "arn:aws:bedrock:us-east-1::foundation-model/amazon.nova-*-multimodal-embeddings-*", "arn:aws:bedrock:us-east-1::async-invoke/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "" } } }, { "Sid": "BedrockGetAsyncInvokeStatement", "Effect": "Allow", "Action": ["bedrock:GetAsyncInvoke"], "Resource": ["arn:aws:bedrock:us-east-1::async-invoke/*"], "Condition": { "StringEquals": { "aws:ResourceAccount": "" } } }
Autorisations d'automatisation des données Bedrock (BDA)
Lorsque vous utilisez BDA pour traiter du contenu multimodal, joignez la politique suivante :
{ "Sid": "BDAInvokeStatement", "Effect": "Allow", "Action": ["bedrock:InvokeDataAutomationAsync"], "Resource": [ "arn:aws:bedrock:us-east-1:aws:data-automation-project/public-rag-default", "arn:aws:bedrock:us-east-1::data-automation-profile/*" ] }, { "Sid": "BDAGetStatement", "Effect": "Allow", "Action": ["bedrock:GetDataAutomationStatus"], "Resource": "arn:aws:bedrock:us-east-1::data-automation-invocation/*" }
Si vous utilisez des AWS KMS clés gérées par le client avec BDA, joignez également la politique suivante. Remplacez account-idregion, et key-id par vos valeurs spécifiques :
{ "Sid": "KmsPermissionStatementForBDA", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": ["arn:aws:kms:region:account-id:key/key-id"], "Condition": { "StringEquals": { "aws:ResourceAccount": "account-id", "kms:ViaService": "bedrock.region.amazonaws.com" } } }
Autorisations pour accéder à votre index GenAI Amazon Kendra
Si vous avez créé un index GenAI Amazon Kendra pour votre base de connaissances, associez la politique suivante au rôle de service de vos bases de connaissances Amazon Bedrock pour autoriser l’accès à l’index. Dans la politique, remplacez${Partition}, ${Region}${AccountId}, et ${IndexId} par les valeurs de votre index. Pour autoriser l’accès à plusieurs index de bases de données, ajoutez-les à la liste Resource. Pour autoriser l'accès à tous les index de votre indexCompte AWS, remplacez-le ${IndexId} par un caractère générique (*).
Autorisations d'accès à votre base de données vectorielle dans Amazon OpenSearch Serverless
Si vous avez créé une base de données vectorielle dans OpenSearch Serverless pour votre base de connaissances, associez la politique suivante à votre rôle de service Amazon Bedrock Knowledge Bases pour autoriser l'accès à la collection. Remplacez ${Region} et ${AccountId} par la région et l'ID de compte auxquels appartient la base de données. Entrez l'ID de votre collection Amazon OpenSearch Service dans${CollectionId}. Pour autoriser l’accès à plusieurs collections, ajoutez-les à la liste Resource.
Autorisations d'accès à votre base de données vectorielle dans OpenSearch Managed Clusters
Si vous avez créé une base de données vectorielle dans OpenSearch Managed Cluster pour votre base de connaissances, associez la politique suivante à votre rôle de service Amazon Bedrock Knowledge Bases pour autoriser l'accès au domaine. Remplacez <region> et <accountId> par la région et l'ID de compte auxquels appartient la base de données. Pour autoriser l’accès à plusieurs domaines, ajoutez-les à la liste Resource. Pour plus d’informations sur la configuration d’autorisations, consultez Conditions préalables et autorisations nécessaires pour utiliser les clusters gérés OpenSearch avec les bases de connaissances Amazon Bedrock.
Autorisations d’accès à votre cluster de bases de données Amazon Aurora
Note
Le cluster Amazon Aurora doit résider dans le même emplacement Compte AWS que celui dans lequel la base de connaissances a été créée pour Amazon Bedrock.
Si vous avez créé un cluster de bases de données dans Amazon Aurora pour votre base de connaissances, associez la politique suivante au rôle de service de vos bases de connaissances Amazon Bedrock afin d’autoriser l’accès au cluster de base de données (DB) et d’accorder des autorisations de lecture et d’écriture annexes. Remplacez ${Region} et ${AccountId} par la région et l'ID de compte auxquels appartient le cluster de base de données. Entrez l'ID de votre cluster de base de données Amazon Aurora dans${DbClusterId}. Pour autoriser l’accès à plusieurs clusters de bases de données, ajoutez-les à la liste Resource.
Autorisations permettant d’accéder à votre base de données vectorielles dans l’analytique Amazon Neptune
Si vous avez créé un graphique d’analytique Amazon Neptune pour votre base de connaissance, associez la politique suivante au rôle de service de vos bases de connaissances Amazon Bedrock afin d’autoriser l’accès au graphique. Dans la politique, remplacez ${Region} et ${AccountId} par la région et l'ID de compte auxquels appartient la base de données. ${GraphId}Remplacez-les par les valeurs de votre base de données de graphes.
Autorisations permettant d’accéder à votre magasin de vecteurs dans Amazon S3 Vectors
Si vous avez choisi d’utiliser Amazon S3 Vectors pour votre base de connaissances, associez la politique suivante au rôle de service de vos bases de connaissances Amazon Bedrock afin d’autoriser l’accès à l’index vectoriel.
Dans la politique, remplacez ${Region} et ${AccountId} par la région et l'ID de compte auxquels appartient l'indice vectoriel. ${BucketName}Remplacez-le par le nom de votre compartiment vectoriel S3 et ${IndexName} par le nom de votre index vectoriel. Pour plus d’informations sur les vecteurs Amazon S3, consultez Configuration pour utiliser Amazon S3 Vectors.
Autorisations d'accès à une base de données vectorielle configurée avec un AWS Secrets Manager secret
Si votre base de données vectorielle est configurée avec un AWS Secrets Manager secret, associez la politique suivante à votre rôle de service Amazon Bedrock Knowledge Bases pour autoriser votre compte AWS Secrets Manager à accéder à la base de données. Remplacez ${Region} et ${AccountId} par la région et l'ID de compte auxquels appartient la base de données. Remplacez ${SecretId} par l'identifiant de votre secret.
Si vous avez chiffré votre secret à l'aide d'une AWS KMS clé, associez des autorisations pour déchiffrer la clé au rôle en suivant les étapes décrites dansAutorisations permettant de déchiffrer un AWS Secrets Manager secret pour le magasin de vecteurs contenant votre base de connaissances.
Autorisations permettant AWS de gérer une AWS KMS clé pour le stockage de données transitoires lors de l'ingestion de données
Pour autoriser la création d'une AWS KMS clé pour le stockage de données transitoires lors de l'ingestion de votre source de données, associez la politique suivante à votre rôle de service Amazon Bedrock Knowledge Bases. Remplacez le ${Region}${AccountId}, et ${KeyId} par les valeurs appropriées.
Autorisations AWS permettant de gérer une source de données à partir du AWS compte d'un autre utilisateur.
Pour autoriser l'accès au AWS compte d'un autre utilisateur, vous devez créer un rôle qui autorise l'accès entre comptes à un compartiment Amazon S3 dans le compte d'un autre utilisateur. Remplacez le ${BucketName}${BucketOwnerAccountId}, et ${BucketNameAndPrefix} par les valeurs appropriées.
Autorisations requises pour le rôle de base de connaissances
Le rôle de base de connaissances fourni lors de la création de la base de connaissances createKnowledgeBase nécessite les autorisations Amazon S3 suivantes.
Si le compartiment Amazon S3 est chiffré à l'aide d'une AWS KMS clé, les éléments suivants doivent également être ajoutés au rôle de base de connaissances. Remplacez le ${BucketOwnerAccountId} et ${Region} par les valeurs appropriées.
{ "Sid": "KmsDecryptStatement", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:${Region}:${BucketOwnerAccountId}:key/${KeyId}" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.${Region}.amazonaws.com" ] } } }
Autorisations requises pour une stratégie de compartiment Amazon S3 entre comptes
Le compartiment de l’autre compte nécessite la stratégie de compartiment Amazon S3 suivante. Remplacez le ${KbRoleArn}${BucketName}, et ${BucketNameAndPrefix} par les valeurs appropriées.
Autorisations requises dans le cadre de la politique relative aux AWS KMS clés entre comptes
Si le compartiment Amazon S3 entre comptes est chiffré à l'aide d'une AWS KMS clé dans ce compte, la politique de la AWS KMS clé nécessite la politique suivante. Remplacez le ${KbRoleArn} et ${KmsKeyArn} par les valeurs appropriées.
{ "Sid": "Example policy", "Effect": "Allow", "Principal": { "AWS": [ "${KbRoleArn}" ] }, "Action": [ "kms:Decrypt" ], "Resource": "${KmsKeyArn}" }
