Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Conditions préalables pour la gestion des invites
Pour qu’un rôle puisse utiliser la gestion des invites, vous devez l’autoriser à effectuer un certain nombre d’actions d’API. Passez en revue les conditions préalables suivantes et respectez celles qui s’appliquent à votre cas d’utilisation :
-
Si la politique AmazonBedrockFullAccessAWSgérée est attachée à votre rôle, vous pouvez ignorer cette section. Sinon, suivez les étapes décrites sous Mise à jour de la politique d’autorisations pour un rôle et associez la politique suivante à un rôle afin de fournir les autorisations nécessaires pour effectuer des actions liées à la gestion des invites :
Pour restreindre davantage les autorisations, vous pouvez omettre des actions ou spécifier des ressources et des clés de condition permettant de filtrer les autorisations. Pour plus d’informations sur les actions, les ressources et les clés de condition, consultez les rubriques suivantes dans la Référence des autorisations de service :
-
Actions définies par Amazon Bedrock : découvrez les actions, les types de ressources auxquels vous pouvez les appliquer dans le champ
Resourceet les clés de condition qui vous permettent de filtrer les autorisations dans le champCondition. -
Types de ressources définis par Amazon Bedrock : découvrez les types de ressources dans Amazon Bedrock.
-
Clés de condition pour Amazon Bedrock : découvrez les clés de condition dans Amazon Bedrock.
Note
-
Si vous envisagez de déployer votre invite à l’aide de l’API Converse, consultez Conditions préalables à l’exécution de l’inférence de modèle pour en savoir plus sur les autorisations que vous devez configurer pour invoquer une invite.
-
Si vous prévoyez d’utiliser un flux dans les flux Amazon Bedrock pour déployer votre invite, consultez Conditions préalables pour Amazon Bedrock Flows pour en savoir plus sur les autorisations que vous devez configurer pour créer un flux.
-
-
Si vous envisagez de chiffrer votre invite à l'aide d'une clé gérée par le client plutôt que d'utiliser une Clé gérée par AWS (pour plus d'informations, voir AWS KMSclés), créez les politiques suivantes :
-
Suivez les étapes décrites dans la section Création d'une politique clé et associez la politique clé suivante à une clé KMS pour permettre à Amazon Bedrock de chiffrer et de déchiffrer une invite à l'aide de la clé, en remplaçant la
valuessi nécessaire. La politique contient des clés de condition facultatives (consultez Clés de condition pour Amazon Bedrock et Clés de contexte de condition globale AWS) dans le champConditionque nous vous recommandons d’utiliser comme bonne pratique de sécurité.{ "Sid": "EncryptFlowKMS", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-prompts:arn": "arn:${partition}:bedrock:${region}:${account-id}:prompt/${prompt-id}" } } } -
Suivez les étapes décrites dans Mettre à jour la politique d'autorisations pour un rôle et associez la politique suivante au rôle de gestion des invites, en remplaçant la
valuessi nécessaire, pour lui permettre de générer et de déchiffrer la clé gérée par le client en cas d'invite. La politique contient des clés de condition facultatives (consultez Clés de condition pour Amazon Bedrock et Clés de contexte de condition globale AWS) dans le champConditionque nous vous recommandons d’utiliser comme bonne pratique de sécurité.{ "Sid": "KMSPermissions", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:${region}:${account-id}:key/${key-id}" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${account-id}" } } }
-
