Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Prerequisiti per la gestione dei prompt Affinché un ruolo utilizzi la gestione dei prompt, è necessario consentirgli di eseguire un determinato set di azioni API. Verifica i seguenti prerequisiti e soddisfa quelli che si applicano al tuo caso d’uso: 1. Se al tuo ruolo è allegata la policy [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)AWSgestita, puoi saltare questa sezione. Altrimenti, segui i passaggi indicati in [Aggiornamento di una policy delle autorizzazioni per un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html#id_roles_update-role-permissions-policy) per fornire le autorizzazioni per eseguire azioni relative a Gestione dei prompt: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "PromptManagementPermissions", "Effect": "Allow", "Action": [ "bedrock:CreatePrompt", "bedrock:UpdatePrompt", "bedrock:GetPrompt", "bedrock:ListPrompts", "bedrock:DeletePrompt", "bedrock:CreatePromptVersion", "bedrock:OptimizePrompt", "bedrock:GetFoundationModel", "bedrock:ListFoundationModels", "bedrock:GetInferenceProfile", "bedrock:ListInferenceProfiles", "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream", "bedrock:RenderPrompt", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource" ], "Resource": "*" } ] } ``` ------ Per limitare ulteriormente le autorizzazioni, è possibile omettere azioni o specificare risorse e chiavi di condizione con cui filtrare le autorizzazioni. Per ulteriori informazioni su azioni, risorse e chiavi di condizione, consultare i seguenti argomenti nella *documentazione di riferimento per l’autorizzazione al servizio*: + [Azioni definite da Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions): scopri le azioni, i tipi di risorsa a cui è possibile limitarle nel campo `Resource` e le chiavi di condizione in base alle quali puoi filtrare le autorizzazioni nel campo `Condition`. + [Tipi di risorsa definiti da Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies): scopri i tipi di risorsa in Amazon Bedrock. + [Chiavi di condizione per Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys): informazioni sulle chiavi di condizione in Amazon Bedrock. **Nota** Se prevedi di distribuire il prompt utilizzando l’API [Converse](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html), consulta [Prerequisiti per l’esecuzione dell’inferenza del modello](inference-prereq.md) per saperne di più sulle autorizzazioni che devi configurare per invocare un prompt. Se prevedi di utilizzare un [flusso](flows.md) in Amazon Bedrock Flows per distribuire il prompt, consulta [Prerequisiti per Amazon Bedrock Flows](flows-prereq.md) per informazioni sulle autorizzazioni che devi configurare per creare un flusso. 1. Se prevedi di crittografare il prompt con una chiave gestita dal cliente anziché utilizzare una Chiave gestita da AWS (per ulteriori informazioni, consulta le [AWS KMSchiavi](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)), crea le seguenti politiche: 1. Segui la procedura descritta in [Creazione di una policy chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) e allega la seguente policy chiave a una chiave KMS per consentire ad Amazon Bedrock di crittografare e decrittografare un prompt con la chiave, sostituendola se necessario. *values* La policy contiene chiavi di condizione opzionali (vedi [Chiavi di condizione Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) e [chiavi di contesto delle condizioni globali AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) nel campo `Condition` che ti consigliamo di utilizzare come best practice di sicurezza. ``` { "Sid": "EncryptFlowKMS", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-prompts:arn": "arn:${partition}:bedrock:${region}:${account-id}:prompt/${prompt-id}" } } } ``` 1. Segui i passaggi indicati in [Aggiornamento della politica delle autorizzazioni per un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html#id_roles_update-role-permissions-policy) e allega la seguente politica al ruolo di gestione dei prompt, sostituendola se necessario, per consentirgli *values* di generare e decrittografare la chiave gestita dal cliente per una richiesta. La policy contiene chiavi di condizione opzionali (vedi [Chiavi di condizione Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) e [chiavi di contesto delle condizioni globali AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) nel campo `Condition` che ti consigliamo di utilizzare come best practice di sicurezza. ``` { "Sid": "KMSPermissions", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:${region}:${account-id}:key/${key-id}" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${account-id}" } } } ```