Configuration d’autorisations de création et de gestion de bases de connaissances pour un utilisateur ou un rôle - Amazon Bedrock

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration d’autorisations de création et de gestion de bases de connaissances pour un utilisateur ou un rôle

Afin qu’un utilisateur ou un rôle puisse effectuer des actions liées aux bases de connaissances Amazon Bedrock, vous devez y attacher des politiques qui accordent les autorisations nécessaires. Ces politiques décrivent les autorisations qui permettent à un utilisateur de récupérer des informations à partir de ces bases de connaissances et de générer des réponses à partir de celles-ci.

Développez les sections suivantes pour découvrir comment configurer des autorisations pour des cas d’utilisation spécifiques :

Pour autoriser un rôle IAM à créer une base de connaissances, la connecter à un magasin de données structuré, gérer la base de connaissances et démarrer et gérer des tâches d’ingestion de la source de données vers la base de connaissances, vous devez fournir des autorisations aux actions KnowledgeBase, DataSource et IngestionJob. Pour fournir des autorisations permettant de baliser des bases de connaissances, incluez des autorisations pour bedrock:TagResource et bedrock:UntagResource.

Note

Si la politique AmazonBedrockFullAccessAWSgérée est attachée à l'utilisateur ou au rôle, vous pouvez ignorer cette condition préalable.

Pour autoriser un rôle à effectuer ces actions, attachez la politique suivante au rôle :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateKB",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateKnowledgeBase"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KBDataSourceManagement",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:UpdateKnowledgeBase",
                "bedrock:DeleteKnowledgeBase",
                "bedrock:StartIngestionJob",
                "bedrock:GetIngestionJob",
                "bedrock:ListIngestionJobs",
                "bedrock:StopIngestionJob",
                "bedrock:TagResource",
                "bedrock:UntagResource"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
            ]
        }
    ]
}

Après avoir créé une base de connaissances, nous vous recommandons de limiter les autorisations indiquées dans le KBDataSourceManagement relevé en remplaçant le caractère générique (*) par l'ID de la base de connaissances que vous avez créée.

Cette section décrit les autorisations dont vous avez besoin pour effectuer les opérations d’API Retrieve et RetrieveAndGenerate pour des bases de connaissances.

Attachez la politique suivante au rôle :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GetKB",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetKnowledgeBase"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "Retrieve",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "RetrieveAndGenerate",
            "Effect": "Allow",
            "Action": [
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Vous pouvez supprimer les instructions dont vous n’avez pas besoin, selon votre cas d’utilisation :

  • L’instruction GetKB permet d’obtenir les informations sur la base de connaissances.

  • L’instruction Retrieve est requise pour appeler Retrieve afin de récupérer les données de votre magasin de données.

  • L’instruction RetrieveAndGenerate est requise pour appeler RetrieveAndGenerate afin de récupérer les données de votre magasin de données et générer des réponses basées sur ces données.

Si vous prévoyez de générer des réponses en fonction des données récupérées à partir de votre source de données à l’aide de RetrieveAndGenerate, demandez un accès aux modèles de fondation à utiliser pour la génération en suivant les étapes sous Accès aux modèles de fondation Amazon Bedrock.

Pour restreindre davantage les autorisations, vous pouvez omettre des actions ou spécifier des ressources et des clés de condition permettant de filtrer les autorisations. Pour plus d’informations sur les actions, les ressources et les clés de condition, consultez les rubriques suivantes dans la Référence des autorisations de service :