Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques basées sur l'identité pour les agents Amazon Bedrock
Sélectionnez une rubrique pour voir des exemples de politiques IAM que vous pouvez associer à un rôle IAM afin de fournir des autorisations pour des actions dans. Automatisez les tâches de votre application à l'aide d'agents IA
Rubriques
Autorisations requises pour Amazon Bedrock Agents
Pour qu'une identité IAM puisse utiliser Amazon Bedrock Agents, vous devez la configurer avec les autorisations nécessaires. Vous pouvez joindre la AmazonBedrockFullAccesspolitique pour accorder les autorisations appropriées au rôle.
Pour limiter les autorisations aux seules actions utilisées dans Amazon Bedrock Agents, associez la politique basée sur l'identité suivante à un rôle IAM :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Amazon Bedrock Agents permissions", "Effect": "Allow", "Action": [ "bedrock:ListFoundationModels", "bedrock:GetFoundationModel", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource", "bedrock:CreateAgent", "bedrock:UpdateAgent", "bedrock:GetAgent", "bedrock:ListAgents", "bedrock:DeleteAgent", "bedrock:CreateAgentActionGroup", "bedrock:UpdateAgentActionGroup", "bedrock:GetAgentActionGroup", "bedrock:ListAgentActionGroups", "bedrock:DeleteAgentActionGroup", "bedrock:GetAgentVersion", "bedrock:ListAgentVersions", "bedrock:DeleteAgentVersion", "bedrock:CreateAgentAlias", "bedrock:UpdateAgentAlias", "bedrock:GetAgentAlias", "bedrock:ListAgentAliases", "bedrock:DeleteAgentAlias", "bedrock:AssociateAgentKnowledgeBase", "bedrock:DisassociateAgentKnowledgeBase", "bedrock:ListAgentKnowledgeBases", "bedrock:GetKnowledgeBase", "bedrock:ListKnowledgeBases", "bedrock:PrepareAgent", "bedrock:InvokeAgent", "bedrock:AssociateAgentCollaborator", "bedrock:DisassociateAgentCollaborator", "bedrock:GetAgentCollaborator", "bedrock:ListAgentCollaborators", "bedrock:UpdateAgentCollaborator" ], "Resource": "*" } ] }
Vous pouvez restreindre davantage les autorisations en omettant des actions ou en spécifiant des ressources et des clés de condition. Une identité IAM peut appeler des opérations d'API sur des ressources spécifiques. Par exemple, l'UpdateAgentopération ne peut être utilisée que sur les ressources de l'agent et l'InvokeAgentopération ne peut être utilisée que sur les ressources d'alias. Pour les opérations d'API qui ne sont pas utilisées sur un type de ressource spécifique (tel que CreateAgent), spécifiez * commeResource. Si vous spécifiez une opération d'API qui ne peut pas être utilisée sur la ressource spécifiée dans la politique, Amazon Bedrock renvoie une erreur.
Autoriser les utilisateurs à consulter les informations relatives à un agent et à l'appeler
Voici un exemple de politique que vous pouvez associer à un rôle IAM pour lui permettre de consulter ou de modifier des informations sur un agent possédant l'ID AGENT12345 et d'interagir avec son alias avec l'IDALIAS12345. Par exemple, vous pouvez associer cette politique à un rôle pour lequel vous souhaitez uniquement disposer des autorisations nécessaires pour dépanner un agent et le mettre à jour.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Get information about and update an agent", "Effect": "Allow", "Action": [ "bedrock:GetAgent", "bedrock:UpdateAgent" ], "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345" }, { "Sid": "Invoke an agent", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent" ], "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345" }, ] }
