Configurazione delle autorizzazioni per un utente o un ruolo per creare e gestire le knowledge base - Amazon Bedrock

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione delle autorizzazioni per un utente o un ruolo per creare e gestire le knowledge base

Per consentire a un utente o a un ruolo di eseguire azioni relative a Knowledge Base per Amazon Bedrock, è necessario allegare delle policy che concedano le autorizzazioni per eseguire tali azioni. Questa pagina descrive le autorizzazioni che consentono a un utente di recuperare informazioni da queste knowledge base e di generare risposte a partire da esse.

Espandi le seguenti sezioni per scoprire come configurare le autorizzazioni per casi d’uso specifici:

Per consentire a un ruolo IAM di creare una knowledge base, connetterla a un datastore strutturato, gestirla e avviare e gestire i processi di importazione dall’origine dati alla knowledge base, devi fornire le autorizzazioni per le azioni KnowledgeBase, DataSource e IngestionJob. Per fornire le autorizzazioni per etichettare le knowledge base, includi le autorizzazioni per bedrock:TagResource e bedrock:UntagResource.

Nota

Se all'utente o al ruolo è associata la policy AmazonBedrockFullAccessAWSgestita, puoi ignorare questo prerequisito.

Per consentire a un ruolo di eseguire queste azioni, allega la seguente policy al ruolo:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateKB",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateKnowledgeBase"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KBDataSourceManagement",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:UpdateKnowledgeBase",
                "bedrock:DeleteKnowledgeBase",
                "bedrock:StartIngestionJob",
                "bedrock:GetIngestionJob",
                "bedrock:ListIngestionJobs",
                "bedrock:StopIngestionJob",
                "bedrock:TagResource",
                "bedrock:UntagResource"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
            ]
        }
    ]
}

Dopo aver creato una knowledge base, ti consigliamo di ridurre l'ambito delle autorizzazioni nello KBDataSourceManagement statuto sostituendo la wildcard (*) con l'ID della knowledge base che hai creato.

Questa sezione descrive le autorizzazioni necessarie per eseguire le operazioni API Retrieve e RetrieveAndGenerate per le knowledge base.

Allega al ruolo la policy seguente:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GetKB",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetKnowledgeBase"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "Retrieve",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "RetrieveAndGenerate",
            "Effect": "Allow",
            "Action": [
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Puoi rimuovere le dichiarazioni non necessarie, a seconda del caso d’uso:

  • L’istruzione GetKB viene utilizzata per ottenere le informazioni sulla knowledge base.

  • L’istruzione Retrieve è necessaria per chiamare Retrieve per recuperare i dati dal datastore.

  • L’istruzione RetrieveAndGenerate è necessaria per chiamare RetrieveAndGenerate al fine di recuperare i dati dal datastore e generare risposte basate sui dati.

Se intendi utilizzare RetrieveAndGenerate per generare risposte basate sui dati recuperati dalla tua origine dati, richiedi l’accesso ai modelli di fondazione da utilizzare per la generazione seguendo la procedura riportata in Accesso ai modelli di fondazione Amazon Bedrock.

Per limitare ulteriormente le autorizzazioni, puoi omettere azioni o specificare risorse e chiavi di condizione con cui filtrare le autorizzazioni. Per ulteriori informazioni su azioni, risorse e chiavi di condizione, consultare i seguenti argomenti nella documentazione di riferimento per l’autorizzazione al servizio: