Creare un ruolo di servizio per Amazon Bedrock Flows in Amazon Bedrock - Amazon Bedrock
Relazione di attendibilitàAutorizzazioni basate sull’identità per il ruolo di servizio dei flussi.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creare un ruolo di servizio per Amazon Bedrock Flows in Amazon Bedrock

Per creare e gestire un flusso in Amazon Bedrock, devi utilizzare un ruolo di servizio con le autorizzazioni necessarie descritte in questa pagina. Puoi utilizzare un ruolo di servizio che Amazon Bedrock crea automaticamente per te nella console o utilizzarne uno personalizzato.

Nota

Se utilizzi il ruolo di servizio che Amazon Bedrock crea automaticamente per te nella console, il ruolo di servizio allegherà le autorizzazioni in modo dinamico quando aggiungi nodi al flusso e salvi il flusso. Tuttavia, se rimuovi i nodi, le autorizzazioni non saranno eliminate, quindi dovrai eliminare le autorizzazioni che non ti servono più. Per gestire le autorizzazioni per il ruolo creato per te, segui le fasi riportate in Modifica di un ruolo nella Guida per l’utente IAM.

Per creare un ruolo di servizio personalizzato per Amazon Bedrock Flows, crea un ruolo IAM seguendo i passaggi descritti in Creazione di un ruolo per delegare le autorizzazioni a un servizio. AWS Quindi assegna le seguenti autorizzazioni al ruolo.

  • Policy di attendibilità

  • Le seguenti autorizzazioni basate sull’identità:

    • Autorizzazioni di accesso ai modelli base di Amazon Bedrock che saranno utilizzati dal flusso. Aggiungi ciascun modello utilizzato nel flusso all’elenco Resource.

    • Se invochi un modello utilizzando la funzionalità Throughput assegnato, autorizzazioni per accedere al modello allocato e invocarlo. Aggiungi ciascun modello utilizzato nel flusso all’elenco Resource.

    • Se invochi un modello personalizzato, autorizzazioni per accedere e invocare il modello personalizzato. Aggiungi ciascun modello utilizzato nel flusso all’elenco Resource.

    • Autorizzazioni basate sui nodi che aggiungi al flusso:

      • Se includi nodi prompt che utilizzano i prompt di Gestione dei prompt, sono necessarie le autorizzazioni per accedere al prompt. Aggiungi ciascun prompt utilizzato nel flusso all’elenco Resource.

      • Se includi nodi knowledge base, sono necessarie le autorizzazioni per eseguire query sulla knowledge base. Aggiungi ciascuna knowledge base sottoposta a query nel flusso all’elenco Resource.

      • Se includi nodi agente, sono necessarie le autorizzazioni per invocare un alias dell’agente. Aggiungi ciascun agente invocato nel flusso all’elenco Resource.

      • Se includi nodi di recupero S3, sono necessarie le autorizzazioni per accedere al bucket Amazon S3 da cui saranno recuperati i dati. Aggiungi ciascun bucket da cui vengono recuperati i dati all’elenco Resource.

      • Se includi nodi di archiviazione S3, sono necessarie le autorizzazioni per scrivere nel bucket Amazon S3 in cui saranno archiviati i dati di output. Aggiungi ciascun bucket in cui vengono scritti i dati all’elenco Resource.

      • Se includi i guardrail per un nodo knowledge base o un nodo prompt, sono necessarie le autorizzazioni per applicare i guardrail in un flusso. Aggiungi ciascun guardrail utilizzato nel flusso all’elenco Resource.

      • Se includi nodi Lambda, sono necessarie le autorizzazioni per invocare la funzione Lambda. Aggiungi ciascuna funzione Lambda da invocare all’elenco Resource.

      • Se includi nodi Amazon Lex, sono necessarie le autorizzazioni per utilizzare il bot Amazon Lex. Aggiungi ciascun alias del bot da utilizzare all’elenco Resource.

      • Se hai crittografato una risorsa invocata in un flusso, sono necessarie le autorizzazioni per decrittografare la chiave. Aggiungi ciascuna chiave all’elenco Resource.

  • Se crittografi il flusso, devi anche collegare una policy della chiave alla chiave KMS che utilizzi per crittografare il flusso.

Nota

Di recente sono state implementate le seguenti modifiche:

  • In precedenza, AWS Lambda le risorse Amazon Lex venivano richiamate utilizzando il servizio principale Amazon Bedrock. Questo comportamento sta cambiando per i flussi creati dopo il 22 novembre 2024 e il ruolo del servizio Amazon Bedrock Flows verrà utilizzato per richiamare le risorse e AWS Lambda Amazon Lex. Se hai creato flussi che utilizzano una di queste risorse prima del 22 novembre 2024, devi aggiornare i ruoli del servizio Amazon Bedrock Flows con le autorizzazioni Amazon AWS Lambda Lex.

  • In precedenza, le risorse di gestione dei prompt venivano renderizzate utilizzando l’azione bedrock:GetPrompt. Questo comportamento sta cambiando per i flussi creati dopo il 22 novembre 2024 e l’azione bedrock:RenderPrompt sarà utilizzata per eseguire il rendering della risorsa prompt. Se hai creato flussi che utilizzano una risorsa prompt prima del 22 novembre 2024, devi aggiornare i ruoli di servizio Amazon Bedrock Flows con le autorizzazioni bedrock:RenderPrompt.

Se utilizzi un ruolo di servizio che Amazon Bedrock ha creato automaticamente per te nella console, Amazon Bedrock allegherà le autorizzazioni corrette in modo dinamico quando salvi il flusso.

Relazione di attendibilità

Allega la seguente policy di attendibilità al ruolo di esecuzione del flusso per consentire ad Amazon Bedrock di assumere il ruolo e gestire un flusso. Sostituisci il file se necessario. values La policy contiene chiavi di condizione opzionali (vedi Chiavi di condizione Amazon Bedrock e chiavi di contesto delle condizioni globali AWS) nel campo Condition che ti consigliamo di utilizzare come best practice di sicurezza.

Nota

Come procedura consigliata, sostituiscilo * con un ID di flusso dopo averlo creato.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FlowsTrustBedrock",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:flow/*"
                }
            }
        }
    ]
}

Autorizzazioni basate sull’identità per il ruolo di servizio dei flussi.

Allega la seguente politica per fornire le autorizzazioni per il ruolo di servizio, values sostituendole se necessario. La policy contiene le seguenti istruzioni. Ometti un’istruzione se non è applicabile al tuo caso d’uso. La policy contiene chiavi di condizione opzionali (vedi Chiavi di condizione Amazon Bedrock e chiavi di contesto delle condizioni globali AWS) nel campo Condition che ti consigliamo di utilizzare come best practice di sicurezza.

  • Autorizzazioni di accesso ai modelli base di Amazon Bedrock che saranno utilizzati dal flusso. Aggiungi ciascun modello utilizzato nel flusso all’elenco Resource.

  • Se invochi un modello utilizzando la funzionalità Throughput assegnato, autorizzazioni per accedere al modello allocato e invocarlo. Aggiungi ciascun modello utilizzato nel flusso all’elenco Resource.

  • Se invochi un modello personalizzato, autorizzazioni per accedere e invocare il modello personalizzato. Aggiungi ciascun modello utilizzato nel flusso all’elenco Resource.

  • Autorizzazioni basate sui nodi che aggiungi al flusso:

    • Se includi nodi prompt che utilizzano i prompt di Gestione dei prompt, sono necessarie le autorizzazioni per accedere al prompt. Aggiungi ciascun prompt utilizzato nel flusso all’elenco Resource.

    • Se includi nodi knowledge base, sono necessarie le autorizzazioni per eseguire query sulla knowledge base. Aggiungi ciascuna knowledge base sottoposta a query nel flusso all’elenco Resource.

    • Se includi nodi agente, sono necessarie le autorizzazioni per invocare un alias dell’agente. Aggiungi ciascun agente invocato nel flusso all’elenco Resource.

    • Se includi nodi di recupero S3, sono necessarie le autorizzazioni per accedere al bucket Amazon S3 da cui saranno recuperati i dati. Aggiungi ciascun bucket da cui vengono recuperati i dati all’elenco Resource.

    • Se includi nodi di archiviazione S3, sono necessarie le autorizzazioni per scrivere nel bucket Amazon S3 in cui saranno archiviati i dati di output. Aggiungi ciascun bucket in cui vengono scritti i dati all’elenco Resource.

    • Se includi i guardrail per un nodo knowledge base o un nodo prompt, sono necessarie le autorizzazioni per applicare i guardrail in un flusso. Aggiungi ciascun guardrail utilizzato nel flusso all’elenco Resource.

    • Se includi nodi Lambda, sono necessarie le autorizzazioni per invocare la funzione Lambda. Aggiungi ciascuna funzione Lambda da invocare all’elenco Resource.

    • Se includi nodi Amazon Lex, sono necessarie le autorizzazioni per utilizzare il bot Amazon Lex. Aggiungi ciascun alias del bot da utilizzare all’elenco Resource.

    • Se hai crittografato una risorsa invocata in un flusso, sono necessarie le autorizzazioni per decrittografare la chiave. Aggiungi ciascuna chiave all’elenco Resource.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "InvokeModel",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/ModelId"
            ]
        },
        {
            "Sid": "InvokeProvisionedThroughput",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:GetProvisionedModelThroughput"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:provisioned-model/ModelId"
            ]
        },
        {
            "Sid": "InvokeCustomModel",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:GetCustomModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:custom-model/ModelId"
            ]
        },
        {
            "Sid": "UsePromptFromPromptManagement",
            "Effect": "Allow",
            "Action": [
                "bedrock:RenderPrompt"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:prompt/PromptId"
            ]
        },
        {
            "Sid": "QueryKnowledgeBase",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
            ]
        },
        {
            "Sid": "InvokeAgent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:agent-alias/AgentId/AgentAliasId"
            ]
        },
        {
            "Sid": "AccessS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        },
        {
            "Sid": "WriteToS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        },
        {
            "Sid": "GuardrailPermissions",
            "Effect": "Allow",
            "Action": [
                "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:guardrail/GuardrailId"
            ]
        },
        {
            "Sid": "LambdaPermissions",
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:us-east-1:123456789012:function:FunctionId"
            ]
        },
        {
            "Sid": "AmazonLexPermissions",
            "Effect": "Allow",
            "Action": [
                "lex:RecognizeUtterance"
            ],
            "Resource": [ 
                "arn:aws:lex:us-east-1:123456789012:bot-alias/BotId/BotAliasId"
            ]
        },
        {
            "Sid": "KMSPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/KeyId"
            ],
             "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}