Exemples de politiques basées sur une identité pour les agents Amazon Bedrock - Amazon Bedrock
Autorisations requises pour les agents Amazon BedrockAutoriser les utilisateurs à consulter les informations relatives à un agent et à l’invoquerContrôlez l'accès aux niveaux de service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de politiques basées sur une identité pour les agents Amazon Bedrock

Sélectionnez une rubrique pour voir des exemples de politiques IAM que vous pouvez associer à un rôle IAM afin de fournir des autorisations pour des actions dans Automatisation des tâches de votre application à l’aide d’agents d’IA.

Autorisations requises pour les agents Amazon Bedrock

Pour qu’une identité IAM puisse utiliser des agents Amazon Bedrock, vous devez la configurer avec les autorisations nécessaires. Vous pouvez joindre la AmazonBedrockFullAccesspolitique pour accorder les autorisations appropriées au rôle.

Pour restreindre les autorisations aux actions utilisées dans les agents Amazon Bedrock, associez la politique basée sur l’identité suivante à un rôle IAM :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AgentPermissions",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource", 
                "bedrock:CreateAgent", 
                "bedrock:UpdateAgent", 
                "bedrock:GetAgent", 
                "bedrock:ListAgents", 
                "bedrock:DeleteAgent",
                "bedrock:CreateAgentActionGroup", 
                "bedrock:UpdateAgentActionGroup", 
                "bedrock:GetAgentActionGroup", 
                "bedrock:ListAgentActionGroups", 
                "bedrock:DeleteAgentActionGroup",
                "bedrock:GetAgentVersion",
                "bedrock:ListAgentVersions", 
                "bedrock:DeleteAgentVersion",
                "bedrock:CreateAgentAlias", 
                "bedrock:UpdateAgentAlias",               
                "bedrock:GetAgentAlias",
                "bedrock:ListAgentAliases",
                "bedrock:DeleteAgentAlias",
                "bedrock:AssociateAgentKnowledgeBase",
                "bedrock:DisassociateAgentKnowledgeBase",
                "bedrock:ListAgentKnowledgeBases",
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:PrepareAgent",
                "bedrock:InvokeAgent",
                "bedrock:AssociateAgentCollaborator",
                "bedrock:DisassociateAgentCollaborator",
                "bedrock:GetAgentCollaborator",
                "bedrock:ListAgentCollaborators",
                "bedrock:UpdateAgentCollaborator"
            ],
            "Resource": "*"
        }
    ]   
}

Vous pouvez restreindre davantage les autorisations en omettant des actions ou en spécifiant des ressources et des clés de condition. Une identité IAM peut appeler des opérations d’API au niveau de ressources spécifiques. Par exemple, l’opération UpdateAgent ne peut être utilisée que sur les ressources des agents et l’opération InvokeAgent ne peut être utilisée que sur les ressources des alias. Pour les opérations d’API qui ne sont pas utilisées sur un type de ressource spécifique (tel que CreateAgent), spécifiez * comme étant la Resource. Si vous spécifiez une opération d’API qui ne peut pas être utilisée sur la ressource spécifiée dans la politique, Amazon Bedrock renvoie une erreur.

Autoriser les utilisateurs à consulter les informations relatives à un agent et à l’invoquer

Voici un exemple de politique que vous pouvez associer à un rôle IAM pour lui permettre de consulter ou de modifier des informations sur un agent possédant l'ID AGENT12345 et d'interagir avec son alias avec l'IDALIAS12345. Par exemple, vous pouvez associer cette politique à un rôle pour lequel vous souhaitez uniquement disposer des autorisations nécessaires pour dépanner un agent et le mettre à jour.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GetAndUpdateAgent",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetAgent",
                "bedrock:UpdateAgent"
            ],
            "Resource": "arn:aws:bedrock:us-east-1:123456789012:agent/AgentId"
        },
        {
            "Sid": "InvokeAgent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": "arn:aws:bedrock:us-east-1:123456789012:agent-alias/AgentId/AgentAliasId"
        }
    ]
}

Contrôlez l'accès aux niveaux de service

Les niveaux de service Amazon Bedrock fournissent différents niveaux de priorité de traitement et de tarification pour les demandes d'inférence. Par défaut, tous les niveaux de service (prioritaire, par défaut et flexible) sont accessibles aux utilisateurs disposant des autorisations Bedrock appropriées, selon une approche de liste d'autorisation dans laquelle l'accès est accordé sauf restriction explicite.

Toutefois, les entreprises peuvent souhaiter contrôler les niveaux de service auxquels leurs utilisateurs peuvent accéder pour gérer les coûts ou appliquer les politiques d'utilisation. Vous pouvez mettre en œuvre des restrictions d'accès en utilisant des politiques IAM avec la clé de bedrock:ServiceTier condition pour refuser l'accès à des niveaux de service spécifiques. Cette approche vous permet de garder un contrôle précis sur les membres de l'équipe qui peuvent utiliser les niveaux de service premium tels que « prioritaire » ou les niveaux optimisés en termes de coûts tels que « flex ».

L'exemple suivant montre une politique basée sur l'identité qui refuse l'accès à tous les niveaux de service. Ce type de politique est utile lorsque vous souhaitez empêcher les utilisateurs de spécifier un niveau de service, les obligeant ainsi à utiliser le comportement par défaut du système :

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "bedrock:InvokeModel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "bedrock:ServiceTier": ["reserved", "priority", "default", "flex"]
                }
            }
        }
    ]
}

Vous pouvez personnaliser cette politique pour refuser l'accès à des niveaux de service spécifiques uniquement en modifiant les valeurs des bedrock:ServiceTier conditions. Par exemple, pour refuser uniquement le niveau « prioritaire » premium tout en autorisant les niveaux « par défaut » et « flex », vous devez le spécifier uniquement ["priority"] dans la condition. Cette approche flexible vous permet de mettre en œuvre des politiques d'utilisation conformes à la gestion des coûts et aux exigences opérationnelles de votre organisation. Pour plus d'informations sur les niveaux de service, consultezNiveaux de service pour optimiser les performances et les coûts.