Autorizzazioni per la riclassificazione in Amazon Bedrock - Amazon Bedrock

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni per la riclassificazione in Amazon Bedrock

Per utilizzare la riclassificazione, un utente richiede le seguenti autorizzazioni:

  • Accesso ai modelli di riclassificazione che intende utilizzare. Per ulteriori informazioni, consulta Accesso ai modelli di fondazione Amazon Bedrock.

  • Autorizzazioni per il ruolo e, se intende utilizzare la riclassificazione in un flusso di lavoro Retrieve, autorizzazioni per il ruolo di servizio di Knowledge Base per Amazon Bedrock che ha una relazione di attendibilità con il suo ruolo.

    Suggerimento

    Per configurare rapidamente le autorizzazioni richieste, è possibile:

    Importante

    Quando si utilizza la riclassificazione in un flusso di lavoro Retrieve con un ruolo di servizio di Knowledge Base per Amazon Bedrock, tenere presente quanto segue:

    • Se modifichi manualmente la policy AWS Identity and Access Management (IAM) creata da Amazon Bedrock per il tuo ruolo di servizio della knowledge base, potresti riscontrare errori durante il tentativo di aggiornare le autorizzazioni in. Console di gestione AWS Per risolvere questo problema, nella console IAM, eliminare la versione della policy creata manualmente. Poi aggiornare la pagina della riclassificazione nella console Amazon Bedrock e riprovare.

    • Se viene utilizzato un ruolo personalizzato, Amazon Bedrock non può aggiornare il ruolo di servizio della knowledge base per conto dell’utente. Verificare che le autorizzazioni siano configurate correttamente per il ruolo di servizio.

    Per un riepilogo dei casi d’uso e delle autorizzazioni necessarie, consultare la tabella seguente:

    Caso d’uso Autorizzazioni utente necessarie Autorizzazioni per il ruolo di servizio di Knowledge Base per Amazon Bedrock
    Utilizzare la riclassificazione in modo indipendente

    • bedrock:Rerank

    • bedrock:InvokeModel, facoltativamente limitato ai modelli di riclassificazione

    		 N/D
    Utilizzare la riclassificazione in un flusso di lavoro Retrieve

    • bedrock:Retrieve

    • bedrock:Rerank

    • bedrock:, facoltativamente applicabile ai modelli di riclassificazione InvokeModel
    Utilizzare la riclassificazione in un flusso di lavoro RetrieveAndGenerate

    • substrato roccioso: RetrieveAndGenerate

    • bedrock:Rerank

    • bedrock:InvokeModel, facoltativamente limitato ai modelli di riclassificazione e ai modelli da utilizzare per generare risposte.

    		 N/D

Ad esempi di policy di autorizzazione che è possibile collegare a un ruolo IAM, espandere la sezione corrispondente al tuo caso d’uso:

Per utilizzare Rerank direttamente con un elenco di origini, il ruolo utente richiede le autorizzazioni per utilizzare sia le azioni bedrock:Rerank che le azioni bedrock:InvokeModel. Allo stesso modo, per impedire l’utilizzo di un modello di riclassificazione, è necessario negare le autorizzazioni per entrambe le azioni. Per consentire al ruolo utente di utilizzare un modello di riclassificazione in modo indipendente, è possibile collegare la seguente policy al ruolo:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/model-id"
            ]
        }
    ]
}

Nella policy precedente, per l’azione bedrock:InvokeModel l’ambito delle autorizzazioni è limitato ai modelli che si vuole consentire al ruolo di utilizzare per la classificazione. Per consentire l'accesso a tutti i modelli, utilizzate un wildcard () nel campo. * Resource

Per utilizzare la riclassificazione durante il recupero di dati da una knowledge base, è necessario configurare le seguenti autorizzazioni:

Per il ruolo utente

Il ruolo utente richiede e autorizzazioni per utilizzare l’azione bedrock:Retrieve. Per consentire al ruolo utente di recuperare i dati da una knowledge base, è possibile collegare la seguente policy al ruolo:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
            ]
        }
    ]
}

Nella policy precedente, per l’azione bedrock:Retrieve l’ambito delle autorizzazioni è limitato alle knowledge base da cui si desidera consentire al ruolo di recuperare informazioni. Per consentire l'accesso a tutte le knowledge base, puoi usare un wildcard (*) nel Resource campo.

Per il ruolo di servizio

Il ruolo di servizio di Knowledge Base per Amazon Bedrock utilizzato dall’utente richiede le autorizzazioni per utilizzare le azioni bedrock:Rerank e bedrock:InvokeModel. È possibile utilizzare la console Amazon Bedrock per configurare automaticamente le autorizzazioni per il ruolo di servizio quando si sceglie un modello di riclassificazione durante la configurazione del recupero dalla knowledge base. In caso contrario, per consentire al ruolo di servizio di riclassificare le origini durante il recupero, è possibile collegare la seguente policy:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId"
        }
    ]
}

Nella policy precedente, per l’azione bedrock:InvokeModel l’ambito delle autorizzazioni è limitato ai modelli che si vuole consentire al ruolo di utilizzare per la classificazione. Per consentire l’accesso a tutti i modelli, è possibile utilizzare un carattere jolly (*) nel campo Resource.

Per utilizzare un modello di riclassificazione durante il recupero di dati da una knowledge base e poi generare risposte basate sui risultati recuperati, il ruolo utente richiede le autorizzazioni per utilizzare le azioni bedrock:RetrieveAndGenerate, bedrock:Rerank e bedrock:InvokeModel. Per consentire la riclassificazione delle origini durante il recupero e la generazione di risposte basate sui risultati, è possibile collegare la seguente policy al ruolo utente:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankRetrieveAndGenerateSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/GenerationModelId}"
            ]
        }
    ]
}

Nella policy precedente, per l’operazione bedrock:InvokeModel l’ambito delle autorizzazioni è limitato ai modelli che si vuole consentire al ruolo di utilizzare per la riclassificazione e ai modelli che si vuole consentire al ruolo di utilizzare per la generazione di risposte. Per consentire l'accesso a tutti i modelli, puoi utilizzare un wildcard () * nel campo. Resource

Per limitare ulteriormente le autorizzazioni, puoi omettere azioni o specificare risorse e chiavi di condizione con cui filtrare le autorizzazioni. Per ulteriori informazioni su azioni, risorse e chiavi di condizione, consultare i seguenti argomenti nella documentazione di riferimento per l’autorizzazione al servizio: