Autorisations pour le reclassement dans Amazon Bedrock - Amazon Bedrock

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations pour le reclassement dans Amazon Bedrock

Les utilisateurs doivent disposer des autorisations suivantes pour pouvoir utiliser le reclassement :

  • Accès aux modèles de reclassement qu’ils prévoient d’utiliser. Pour de plus amples informations, veuillez consulter Accès aux modèles de fondation Amazon Bedrock.

  • Les autorisations pour leur rôle et, s’ils prévoient d’utiliser le reclassement dans un flux de travail Retrieve, les autorisations pour le rôle de service Amazon Bedrock Knowledge Bases bénéficiant d’une relation de confiance avec leur rôle.

    Astuce

    Pour configurer rapidement les autorisations requises, vous pouvez procéder comme suit :

    Important

    Lorsque vous utilisez le reclassement dans un flux de travail Retrieve avec un rôle de service Amazon Bedrock Knowledge Bases, notez ce qui suit :

    • Si vous modifiez manuellement la politique Gestion des identités et des accès AWS (IAM) créée par Amazon Bedrock pour votre rôle de service de base de connaissances, vous risquez de rencontrer des erreurs lorsque vous tentez de mettre à jour les autorisations dans le. AWS Management Console Pour résoudre ce problème, dans la console IAM, supprimez la version de politique que vous avez créée manuellement. Actualisez ensuite la page de reclassement dans la console Amazon Bedrock et réessayez.

    • Si vous utilisez un rôle personnalisé, Amazon Bedrock ne peut pas mettre à jour le rôle de service de base de connaissances en votre nom. Vérifiez que les autorisations sont correctement configurées pour le rôle de service.

    Pour un récapitulatif des cas d’utilisation et des autorisations nécessaires pour ceux-ci, reportez-vous au tableau suivant :

    Cas d’utilisation Autorisations nécessaires Autorisations requises pour les rôles de service Amazon Bedrock Knowledge Bases
    Utilisation du reclassement de façon indépendante

    • bedrock:Rerank

    • bedrock :InvokeModel, éventuellement adapté aux modèles de reclassement

    		 N/A
    Utilisation du reclassement dans un flux de travail Retrieve

    • bedrock:Retrieve

    • bedrock:Rerank

    • bedrock :InvokeModel, éventuellement adapté aux modèles de reclassement
    Utilisation du reclassement dans un flux de travail RetrieveAndGenerate

    • socle : RetrieveAndGenerate

    • bedrock:Rerank

    • socle :InvokeModel, éventuellement étendu aux modèles de reclassement et aux modèles à utiliser pour générer des réponses.

    		 N/A

Pour voir des exemples de politiques d’autorisations que vous pouvez associer à un rôle IAM, développez la section correspondant à votre cas d’utilisation :

Pour utiliser directement le reclassement avec une liste de sources, le rôle utilisateur doit être autorisé à utiliser les actions bedrock:Rerank et bedrock:InvokeModel. De même, pour empêcher l’utilisation d’un modèle de reclassement, vous devez refuser les autorisations pour les deux actions. Pour autoriser le rôle utilisateur à utiliser un modèle de reclassement de façon indépendante, vous pouvez attacher la politique suivante au rôle :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/model-id"
            ]
        }
    ]
}

Dans la politique précédente, pour l’action bedrock:InvokeModel, vous délimitez les autorisations aux modèles que vous souhaitez permettre au rôle d’utiliser pour le reclassement. Pour autoriser l'accès à tous les modèles, utilisez un caractère générique (*) dans le Resource champ.

Pour utiliser le reclassement lors de la récupération de données dans une base de connaissances, vous devez configurer les autorisations suivantes :

Pour le rôle utilisateur

Le rôle utilisateur a besoin d’autorisations pour utiliser l’action bedrock:Retrieve. Pour permettre au rôle utilisateur de récupérer les données d’une base de connaissances, vous pouvez attacher la politique suivante au rôle :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
            ]
        }
    ]
}

Dans la politique précédente, pour l’action bedrock:Retrieve, vous définissez les autorisations d’accès aux bases de connaissances à partir desquelles vous souhaitez permettre au rôle de récupérer des informations. Pour autoriser l'accès à toutes les bases de connaissances, vous pouvez utiliser un caractère générique (*) dans le Resource champ.

Pour le rôle de service

Le rôle de service Amazon Bedrock Knowledge Bases utilisé par l’utilisateur nécessite des autorisations pour utiliser les actions bedrock:Rerank et bedrock:InvokeModel. Vous pouvez utiliser la console Amazon Bedrock pour configurer automatiquement les autorisations pour votre rôle de service lorsque vous choisissez un modèle de reclassement lors de la configuration de la récupération de la base de connaissances. Autrement, pour autoriser le rôle de service à reclasser les sources lors de la récupération, vous pouvez attacher la politique suivante :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId"
        }
    ]
}

Dans la politique précédente, pour l’action bedrock:InvokeModel, vous délimitez les autorisations aux modèles que vous souhaitez permettre au rôle d’utiliser pour le reclassement. Pour autoriser l’accès à tous les modèles, vous pouvez utiliser un caractère générique (*) dans le champ Resource.

Pour utiliser un modèle de reclassement lors de la récupération des données d’une base de connaissances et de la génération ultérieure de réponses en fonction des résultats récupérés, le rôle utilisateur doit être autorisé à utiliser les actions bedrock:RetrieveAndGenerate, bedrock:Rerank et bedrock:InvokeModel. Pour autoriser le reclassement des sources lors de la récupération et permettre la génération de réponses en fonction des résultats, vous pouvez attacher la politique suivante au rôle d’utilisateur :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankRetrieveAndGenerateSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/GenerationModelId}"
            ]
        }
    ]
}

Dans la politique précédente, pour l’opération bedrock:InvokeModel, vous délimitez les autorisations aux modèles que vous souhaitez permettre au rôle d’utiliser pour le reclassement, et aux modèles que vous souhaitez permettre au rôle d’utiliser pour générer des réponses. Pour autoriser l'accès à tous les modèles, vous pouvez utiliser un caractère générique (*) dans le Resource champ.

Pour restreindre davantage les autorisations, vous pouvez omettre des actions ou spécifier des ressources et des clés de condition permettant de filtrer les autorisations. Pour plus d’informations sur les actions, les ressources et les clés de condition, consultez les rubriques suivantes dans la Référence des autorisations de service :