Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan berbasis identitas untuk Agen Amazon Bedrock
Pilih topik untuk melihat contoh kebijakan IAM yang dapat Anda lampirkan ke peran IAM untuk memberikan izin untuk tindakan. Otomatiskan tugas dalam aplikasi Anda menggunakan agen AI
Topik
Izin yang diperlukan untuk Agen Bedrock Amazon
Agar identitas IAM dapat menggunakan Agen Bedrock Amazon, Anda harus mengonfigurasinya dengan izin yang diperlukan. Anda dapat melampirkan AmazonBedrockFullAccesskebijakan untuk memberikan izin yang tepat untuk peran tersebut.
Untuk membatasi izin hanya tindakan yang digunakan di Agen Amazon Bedrock, lampirkan kebijakan berbasis identitas berikut ke peran IAM:
Anda dapat membatasi izin lebih lanjut dengan menghilangkan tindakan atau menentukan sumber daya dan kunci kondisi. Identitas IAM dapat memanggil operasi API pada sumber daya tertentu. Misalnya, UpdateAgentoperasi hanya dapat digunakan pada sumber daya agen dan InvokeAgentoperasi hanya dapat digunakan pada sumber daya alias. Untuk operasi API yang tidak digunakan pada jenis sumber daya tertentu (seperti CreateAgent), tentukan * sebagaiResource. Jika Anda menentukan operasi API yang tidak dapat digunakan pada sumber daya yang ditentukan dalam kebijakan, Amazon Bedrock akan menampilkan kesalahan.
Memungkinkan pengguna untuk melihat informasi tentang dan memanggil agen
Berikut ini adalah contoh kebijakan yang dapat Anda lampirkan ke peran IAM untuk memungkinkannya melihat informasi tentang atau mengedit agen dengan ID AGENT12345 dan berinteraksi dengan aliasnya dengan ID. ALIAS12345 Misalnya, Anda dapat melampirkan kebijakan ini ke peran yang hanya ingin memiliki izin untuk memecahkan masalah agen dan memperbaruinya.
Kontrol akses ke tingkatan layanan
Tingkat layanan Amazon Bedrock menyediakan berbagai tingkat prioritas pemrosesan dan harga untuk permintaan inferensi. Secara default, semua tingkatan layanan (prioritas, default, dan fleksibel) tersedia untuk pengguna dengan izin Bedrock yang tepat, mengikuti pendekatan allowlist di mana akses diberikan kecuali secara eksplisit dibatasi.
Namun, organisasi mungkin ingin mengontrol tingkatan layanan mana yang dapat diakses pengguna mereka untuk mengelola biaya atau menegakkan kebijakan penggunaan. Anda dapat menerapkan pembatasan akses dengan menggunakan kebijakan IAM dengan kunci bedrock:ServiceTier kondisi untuk menolak akses ke tingkatan layanan tertentu. Pendekatan ini memungkinkan Anda untuk mempertahankan kontrol terperinci atas anggota tim mana yang dapat menggunakan tingkatan layanan premium seperti “prioritas” atau tingkatan yang dioptimalkan biaya seperti “fleksibel”.
Contoh berikut menunjukkan kebijakan berbasis identitas yang menolak akses ke semua tingkatan layanan. Jenis kebijakan ini berguna ketika Anda ingin mencegah pengguna menentukan tingkat layanan apa pun, memaksa mereka untuk menggunakan perilaku default sistem:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "bedrock:InvokeModel", "Resource": "*", "Condition": { "StringEquals": { "bedrock:ServiceTier": ["reserved", "priority", "default", "flex"] } } } ] }
Anda dapat menyesuaikan kebijakan ini untuk menolak akses hanya ke tingkatan layanan tertentu dengan mengubah nilai bedrock:ServiceTier kondisi. Misalnya, untuk menolak hanya tingkat “prioritas” premium sambil mengizinkan “default” dan “flex”, Anda hanya akan menentukan ["priority"] dalam kondisi. Pendekatan fleksibel ini memungkinkan Anda menerapkan kebijakan penggunaan yang selaras dengan manajemen biaya dan persyaratan operasional organisasi Anda. Untuk informasi selengkapnya tentang tingkatan layanan, lihatTingkat layanan untuk mengoptimalkan kinerja dan biaya.
