Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration d’autorisations de création et de gestion de bases de connaissances pour un utilisateur ou un rôle
Afin qu’un utilisateur ou un rôle puisse effectuer des actions liées aux bases de connaissances Amazon Bedrock, vous devez y attacher des politiques qui accordent les autorisations nécessaires. Ces politiques décrivent les autorisations qui permettent à un utilisateur de récupérer des informations à partir de ces bases de connaissances et de générer des réponses à partir de celles-ci.
Développez les sections suivantes pour découvrir comment configurer des autorisations pour des cas d’utilisation spécifiques :
## Autorisation d’un rôle à créer des bases de connaissances et les gérer
Pour autoriser un rôle IAM à créer une base de connaissances, la connecter à un magasin de données structuré, gérer la base de connaissances et démarrer et gérer des tâches d’ingestion de la source de données vers la base de connaissances, vous devez fournir des autorisations aux actions `KnowledgeBase`, `DataSource` et `IngestionJob`. Pour fournir des autorisations permettant de baliser des bases de connaissances, incluez des autorisations pour `bedrock:TagResource` et `bedrock:UntagResource`.
**Note**
Si la politique [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess) AWS gérée est attachée à l'utilisateur ou au rôle, vous pouvez ignorer cette condition préalable.
Pour autoriser un rôle à effectuer ces actions, attachez la politique suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateKB",
"Effect": "Allow",
"Action": [
"bedrock:CreateKnowledgeBase"
],
"Resource": "*"
},
{
"Sid": "KBDataSourceManagement",
"Effect": "Allow",
"Action": [
"bedrock:GetKnowledgeBase",
"bedrock:ListKnowledgeBases",
"bedrock:UpdateKnowledgeBase",
"bedrock:DeleteKnowledgeBase",
"bedrock:StartIngestionJob",
"bedrock:GetIngestionJob",
"bedrock:ListIngestionJobs",
"bedrock:StopIngestionJob",
"bedrock:TagResource",
"bedrock:UntagResource"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
]
}
]
}
```
------
Après avoir créé une base de connaissances, nous vous recommandons de limiter les autorisations indiquées dans le `KBDataSourceManagement` relevé en remplaçant le caractère générique (*\$1*) par l'ID de la base de connaissances que vous avez créée.
## Autorisation d’un rôle à effectuer les opérations d’API de base de connaissances
Cette section décrit les autorisations dont vous avez besoin pour effectuer les opérations d’API `Retrieve` et `RetrieveAndGenerate` pour des bases de connaissances.
Attachez la politique suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GetKB",
"Effect": "Allow",
"Action": [
"bedrock:GetKnowledgeBase"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/${KnowledgeBaseId}"
]
},
{
"Sid": "Retrieve",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/${KnowledgeBaseId}"
]
},
{
"Sid": "RetrieveAndGenerate",
"Effect": "Allow",
"Action": [
"bedrock:RetrieveAndGenerate"
],
"Resource": [
"*"
]
}
]
}
```
------
Vous pouvez supprimer les instructions dont vous n’avez pas besoin, selon votre cas d’utilisation :
+ L’instruction `GetKB` permet d’obtenir les informations sur la base de connaissances.
+ L’instruction `Retrieve` est requise pour appeler [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html) afin de récupérer les données de votre magasin de données.
+ L’instruction `RetrieveAndGenerate` est requise pour appeler [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) afin de récupérer les données de votre magasin de données et générer des réponses basées sur ces données.
## Demandez l'accès aux modèles de base pour RetrieveAndGenerate
Si vous prévoyez de générer des réponses en fonction des données récupérées à partir de votre source de données à l’aide de [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html), demandez un accès aux modèles de fondation à utiliser pour la génération en suivant les étapes décrites dans [Accès aux modèles de fondation Amazon Bedrock](model-access.md).
Pour restreindre davantage les autorisations, vous pouvez omettre des actions ou spécifier des ressources et des clés de condition permettant de filtrer les autorisations. Pour plus d’informations sur les actions, les ressources et les clés de condition, consultez les rubriques suivantes dans la *Référence des autorisations de service* :
+ [Actions définies par Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) : découvrez les actions, les types de ressources auxquels vous pouvez les appliquer dans le champ `Resource` et les clés de condition qui vous permettent de filtrer les autorisations dans le champ `Condition`.
+ [Types de ressources définis par Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) : découvrez les types de ressources dans Amazon Bedrock.
+ [Clés de condition pour Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) : découvrez les clés de condition dans Amazon Bedrock.