Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity and Access Management per Amazon Bedrock
AWS Identity and Access Management (IAM) è un programma Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (accesso effettuato) e *autorizzato* (dispone di autorizzazioni) per utilizzare le risorse Amazon Bedrock. IAM è un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Funzionamento di Amazon Bedrock con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate su identità per Amazon Bedrock](security_iam_id-based-policy-examples.md)
+ [Gestione delle politiche IAM sui progetti](security-iam-projects.md)
+ [AWS politiche gestite per Amazon Bedrock](security-iam-awsmanpol.md)
+ [Ruoli di servizio](security-iam-sr.md)
+ [Configurare l’accesso a bucket Amazon S3](s3-bucket-access.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso di Amazon Bedrock](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso di Amazon Bedrock](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Funzionamento di Amazon Bedrock con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate su identità per Amazon Bedrock](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Funzionamento di Amazon Bedrock con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon Bedrock, scopri quali funzionalità IAM possono essere utilizzate con Amazon Bedrock.
**Funzionalità IAM utilizzabili con Amazon Bedrock**
| Funzionalità IAM | Supporto per Amazon Bedrock |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | No |
Per avere una visione di alto livello di come Amazon Bedrock e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Policy basate su identità per Amazon Bedrock
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di policy basate su identità per Amazon Bedrock
Per visualizzare esempi di policy basate su identità Amazon Bedrock, consulta [Esempi di policy basate su identità per Amazon Bedrock](security_iam_id-based-policy-examples.md).
## Policy basate su risorse all'interno di Amazon Bedrock
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni delle policy per Amazon Bedrock
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di azioni di Amazon Bedrock, consulta [Azioni definite da Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) in *Service Authorization Reference*.
Le azioni delle policy in Amazon Bedrock utilizzano il seguente prefisso prima dell'azione:
```
bedrock
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"bedrock:action1",
"bedrock:action2"
]
```
Per visualizzare esempi di policy basate su identità Amazon Bedrock, consulta [Esempi di policy basate su identità per Amazon Bedrock](security_iam_id-based-policy-examples.md).
## Risorse delle policy per Amazon Bedrock
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di risorse di Amazon Bedrock e relativi ARNs, consulta [Risorse definite da Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) nel *Service Authorization* Reference. Per sapere con quali azioni è possibile specificare l’ARN di ogni risorsa, consulta [Azioni definite da Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions).
Alcune azioni API di Amazon Bedrock supportano più risorse. Ad esempio, [AssociateAgentKnowledgeBase](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_AssociateAgentKnowledgeBase.html) accede a *AGENT12345* e *KB12345678*, quindi un principale deve avere i permessi per accedere a entrambe le risorse. Per specificare più risorse in una singola istruzione, separale ARNs con virgole.
```
"Resource": [
"arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345",
"arn:aws:bedrock:aws-region:111122223333:knowledge-base/KB12345678"
]
```
Per visualizzare esempi di policy basate su identità Amazon Bedrock, consulta [Esempi di policy basate su identità per Amazon Bedrock](security_iam_id-based-policy-examples.md).
## Chiavi di condizione delle policy per Amazon Bedrock
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco delle chiavi di condizione di Amazon Bedrock, consulta [Chiavi di condizione per Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) in *Service Authorization Reference*. Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, consulta [Azioni definite da Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions).
Tutte le azioni di Amazon Bedrock supportano le chiavi di condizione, utilizzando i modelli Amazon Bedrock come risorsa.
Per visualizzare esempi di policy basate su identità Amazon Bedrock, consulta [Esempi di policy basate su identità per Amazon Bedrock](security_iam_id-based-policy-examples.md).
## ACLs in Amazon Bedrock
**Supporti ACLs: no**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con Amazon Bedrock
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. È possibile allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con Amazon Bedrock
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente di IAM*.
## Autorizzazioni delle entità principali tra servizi per Amazon Bedrock
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale che chiama e, in combinazione con la richiesta Servizio AWS, Servizio AWS per effettuare richieste ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Amazon Bedrock
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe compromettere la funzionalità di Amazon Bedrock. Modifica i ruoli del servizio solo quando Amazon Bedrock fornisce le indicazioni per farlo.
## Ruoli collegati ai servizi per Amazon Bedrock
**Supporta i ruoli collegati ai servizi:** no
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati in Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
# Esempi di policy basate su identità per Amazon Bedrock
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell’autorizzazione per creare o modificare risorse Amazon Bedrock. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da Amazon Bedrock, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Actions, Resources and Condition Keys for Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html) nel *Service Authorization* Reference.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Amazon Bedrock](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Negare l’accesso per l’inferenza dei modelli di fondazione](#security_iam_id-based-policy-examples-deny-inference)
+ [Consenti agli utenti di invocare un modello allocato](#security_iam_id-based-policy-examples-perform-actions-pt)
+ [Esempi di policy basate su identità per Agent per Amazon Bedrock](security_iam_id-based-policy-examples-agent.md)
## Best practice per le policy
Le policy basate su identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Bedrock nell'account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le politiche AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** a utenti e carichi di lavoro, utilizza le politiche *AWS gestite* che concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Amazon Bedrock
Per accedere alla console Amazon Bedrock, devi disporre di un set di autorizzazioni minimo. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Amazon Bedrock presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano continuare a utilizzare la console Amazon Bedrock, collega anche Amazon Bedrock [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)o la policy [AmazonBedrockReadOnly](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockReadOnly) AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Negare l’accesso per l’inferenza dei modelli di fondazione
Per impedire a un utente di invocare i modelli di fondazione, è necessario negare l’accesso alle azioni API che invocano direttamente i modelli. L’esempio seguente mostra una policy basata su identità che nega l’accesso all’esecuzione dell’inferenza su un modello specifico. Questa policy può essere utilizzata come policy di controllo dei servizi (SCP) per controllare l’accesso ai modelli all’interno di un’organizzazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "DenyInference",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob"
],
"Resource": "arn:aws:bedrock:*::foundation-model/model-id"
}
}
```
------
Per negare l’accesso inferenziale a tutti i modelli di fondazione, utilizza `*` per l’ID modello. Altre azioni, come `Converse` e `StartAsyncInvoke`, vengono bloccate automaticamente quando `InvokeModel` viene negato. Per un elenco dei modelli, vedere IDs [Modelli di fondazione supportati in Amazon Bedrock](models-supported.md)
## Consenti agli utenti di invocare un modello allocato
Di seguito è riportato un esempio di policy che puoi associare a un ruolo IAM, affinché possa utilizzare un modello allocato nell’inferenza del modello. Ad esempio, puoi associare questa policy a un ruolo che deve avere solo le autorizzazioni per utilizzare un modello allocato. Il ruolo non sarà in grado di gestire o visualizzare le informazioni sul throughput allocato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisionedThroughputModelInvocation",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": "arn:aws:bedrock:us-east-1:123456789012:provisioned-model/my-provisioned-model"
}
]
}
```
------
# Esempi di policy basate su identità per Agent per Amazon Bedrock
Seleziona un argomento per visualizzare esempi di policy IAM che puoi collegare a un ruolo IAM per allocare autorizzazioni per azioni in [Automazione delle attività nella propria applicazione utilizzando agenti IA](agents.md).
**Topics**
+ [Autorizzazioni richieste per Agent per Amazon Bedrock](#iam-agents-ex-all)
+ [Consentire agli utenti di visualizzare informazioni su un agente e invocarlo](#security_iam_id-based-policy-examples-perform-actions-agent)
+ [Controlla l'accesso ai livelli di servizio](#security_iam_id-based-policy-examples-service-tiers)
## Autorizzazioni richieste per Agent per Amazon Bedrock
Affinché un’identità IAM utilizzi Agent per Amazon Bedrock, devi configurarla con le autorizzazioni necessarie. È possibile allegare la [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)politica per concedere le autorizzazioni appropriate al ruolo.
Per limitare le autorizzazioni alle sole azioni utilizzate in Agent per Amazon Bedrock, collega la seguente policy basata sull’identità a un ruolo IAM:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AgentPermissions",
"Effect": "Allow",
"Action": [
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModel",
"bedrock:TagResource",
"bedrock:UntagResource",
"bedrock:ListTagsForResource",
"bedrock:CreateAgent",
"bedrock:UpdateAgent",
"bedrock:GetAgent",
"bedrock:ListAgents",
"bedrock:DeleteAgent",
"bedrock:CreateAgentActionGroup",
"bedrock:UpdateAgentActionGroup",
"bedrock:GetAgentActionGroup",
"bedrock:ListAgentActionGroups",
"bedrock:DeleteAgentActionGroup",
"bedrock:GetAgentVersion",
"bedrock:ListAgentVersions",
"bedrock:DeleteAgentVersion",
"bedrock:CreateAgentAlias",
"bedrock:UpdateAgentAlias",
"bedrock:GetAgentAlias",
"bedrock:ListAgentAliases",
"bedrock:DeleteAgentAlias",
"bedrock:AssociateAgentKnowledgeBase",
"bedrock:DisassociateAgentKnowledgeBase",
"bedrock:ListAgentKnowledgeBases",
"bedrock:GetKnowledgeBase",
"bedrock:ListKnowledgeBases",
"bedrock:PrepareAgent",
"bedrock:InvokeAgent",
"bedrock:AssociateAgentCollaborator",
"bedrock:DisassociateAgentCollaborator",
"bedrock:GetAgentCollaborator",
"bedrock:ListAgentCollaborators",
"bedrock:UpdateAgentCollaborator"
],
"Resource": "*"
}
]
}
```
------
Puoi limitare ulteriormente le autorizzazioni omettendo [azioni](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions) o specificando [risorse](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources) e [chiavi di condizione](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys). Un’identità IAM può chiamare operazioni API su risorse specifiche. Ad esempio, l’operazione [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_UpdateAgent.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_UpdateAgent.html) può essere utilizzata solo su risorse dell’agente e l’operazione [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeAgent.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeAgent.html) può essere utilizzata solo su risorse dell’alias. Per le operazioni API che non vengono utilizzate su un tipo di risorsa specifico (ad esempio [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateAgent.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateAgent.html)), specifica \$1 come `Resource`. Se specifichi un’operazione API che non può essere utilizzata sulla risorsa indicata nella policy, Amazon Bedrock restituisce un errore.
## Consentire agli utenti di visualizzare informazioni su un agente e invocarlo
Di seguito è riportato un esempio di policy che puoi allegare a un ruolo IAM per consentirgli di visualizzare o modificare informazioni su un agente con l'ID *AGENT12345* e di interagire con il relativo alias con l'ID. *ALIAS12345* Ad esempio, puoi collegare questa policy a un ruolo per il quale desideri disporre solo delle autorizzazioni per la risoluzione dei problemi di un agente e per il suo aggiornamento.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GetAndUpdateAgent",
"Effect": "Allow",
"Action": [
"bedrock:GetAgent",
"bedrock:UpdateAgent"
],
"Resource": "arn:aws:bedrock:us-east-1:123456789012:agent/AgentId"
},
{
"Sid": "InvokeAgent",
"Effect": "Allow",
"Action": [
"bedrock:InvokeAgent"
],
"Resource": "arn:aws:bedrock:us-east-1:123456789012:agent-alias/AgentId/AgentAliasId"
}
]
}
```
------
## Controlla l'accesso ai livelli di servizio
I livelli di servizio di Amazon Bedrock offrono diversi livelli di priorità di elaborazione e prezzi per le richieste di inferenza. Per impostazione predefinita, tutti i livelli di servizio (priority, default e flex) sono disponibili per gli utenti con le autorizzazioni Bedrock appropriate, secondo un approccio di tipo allowlist in cui l'accesso è concesso a meno che non sia esplicitamente limitato.
Tuttavia, le organizzazioni potrebbero voler controllare a quali livelli di servizio possono accedere i propri utenti per gestire i costi o applicare le politiche di utilizzo. Puoi implementare restrizioni di accesso utilizzando le policy IAM con la chiave di `bedrock:ServiceTier` condizione per negare l'accesso a livelli di servizio specifici. Questo approccio consente di mantenere un controllo granulare su quali membri del team possono utilizzare livelli di servizio premium come «priority» o livelli ottimizzati in termini di costi come «flex».
L'esempio seguente mostra una politica basata sull'identità che nega l'accesso a tutti i livelli di servizio. Questo tipo di policy è utile quando si desidera impedire agli utenti di specificare qualsiasi livello di servizio, obbligandoli a utilizzare il comportamento predefinito del sistema:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "bedrock:InvokeModel",
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:ServiceTier": ["reserved", "priority", "default", "flex"]
}
}
}
]
}
```
È possibile personalizzare questa politica per negare l'accesso solo a livelli di servizio specifici modificando i valori delle condizioni. `bedrock:ServiceTier` Ad esempio, per negare solo il livello premium «prioritario» e consentire al contempo «default» e «flex», è necessario specificare solo nella condizione. `["priority"]` Questo approccio flessibile consente di implementare politiche di utilizzo in linea con i requisiti operativi e di gestione dei costi dell'organizzazione. Per ulteriori informazioni sui livelli di servizio, consulta. [Livelli di servizio per l'ottimizzazione delle prestazioni e dei costi](service-tiers-inference.md)
# Gestione delle politiche IAM sui progetti
Amazon Bedrock Projects supporta l'allegato diretto alla policy IAM, che consente di gestire il controllo degli accessi a livello di risorsa del progetto. Ciò fornisce un'alternativa alla gestione delle policy su utenti e ruoli IAM.
## Comprensione delle politiche IAM a livello di progetto
Le politiche IAM a livello di progetto consentono di:
+ **Centralizza il controllo degli accessi**: definisci le autorizzazioni direttamente sulla risorsa del progetto
+ **Semplifica la gestione**: aggiorna l'accesso senza modificare le singole politiche user/role
+ **Verifica semplice**: visualizza tutte le autorizzazioni per un progetto in un unico posto
+ **Amministrazione delegata**: consenti ai proprietari dei progetti di gestire l'accesso ai propri progetti
## Allegare le politiche IAM ai progetti
### Allega una policy per concedere l'accesso
Allega una policy IAM direttamente a un progetto per concedere le autorizzazioni:
```
import boto3
import json
iam = boto3.client('iam', region_name='us-east-1')
project_arn = "arn:aws:bedrock-mantle:us-east-1:123456789012:project/proj_abc123"
# Define the identity-based policy document
policy_document = {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowTeamAlphaAccess",
"Effect": "Allow",
"Action": [
"bedrock-mantle:ListTagsForResources",
"bedrock-mantle:GetProject"
],
"Resource": project_arn
}
]
}
policy_json = json.dumps(policy_document)
# Create a managed policy
create_response = iam.create_policy(
PolicyName="TeamAlphaAccessPolicy",
PolicyDocument=policy_json,
Description="Grants Team Alpha read access to the Bedrock project"
)
policy_arn = create_response['Policy']['Arn']
print(f"Policy created: {policy_arn}")
# Attach the policy to alice (IAM user)
iam.attach_user_policy(
UserName="alice",
PolicyArn=policy_arn
)
print("Policy attached to alice")
# Attach the policy to bob (IAM user)
iam.attach_user_policy(
UserName="bob",
PolicyArn=policy_arn
)
print("Policy attached to bob")
# Attach the policy to TeamAlphaRole (IAM role)
iam.attach_role_policy(
RoleName="TeamAlphaRole",
PolicyArn=policy_arn
)
print("Policy attached to TeamAlphaRole")
```
### Concedi l'accesso completo al progetto a un team
Consenti a un team l'accesso completo alla gestione e all'utilizzo di un progetto:
```
import boto3
import json
iam = boto3.client('iam', region_name='us-east-1')
project_arn = "arn:aws:bedrock-mantle:us-east-1:123456789012:project/proj_abc123"
# Identity-based policy — no Principal block needed
policy_document = {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "FullProjectAccess",
"Effect": "Allow",
"Action": "bedrock-mantle:*",
"Resource": project_arn
}
]
}
# Create a managed policy
create_response = iam.create_policy(
PolicyName="DataScienceFullAccess",
PolicyDocument=json.dumps(policy_document),
Description="Grants DataScienceTeamRole full access to the Bedrock project"
)
policy_arn = create_response['Policy']['Arn']
print(f"Policy created: {policy_arn}")
# Attach to the DataScienceTeamRole
iam.attach_role_policy(
RoleName="DataScienceTeamRole",
PolicyArn=policy_arn
)
print("Full access policy attached to DataScienceTeamRole")
```
### Concessione dell'accesso in sola lettura a
Allega una politica che consenta di visualizzare i dettagli del progetto e di effettuare solo richieste di inferenza:
```
import boto3
import json
iam = boto3.client('iam', region_name='us-east-1')
project_arn = "arn:aws:bedrock-mantle:us-east-1:123456789012:project/proj_abc123"
# Identity-based policy — no Principal block needed
policy_document = {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadOnlyAccess",
"Effect": "Allow",
"Action": [
"bedrock-mantle:CreateInference",
"bedrock-mantle:GetProject",
"bedrock-mantle:ListProjects",
"bedrock-mantle:ListTagsForResources"
],
"Resource": project_arn
}
]
}
# Create a managed policy
create_response = iam.create_policy(
PolicyName="ReadOnlyAccessPolicy",
PolicyDocument=json.dumps(policy_document),
Description="Grants viewer1 and viewer2 read-only access to the Bedrock project"
)
policy_arn = create_response['Policy']['Arn']
print(f"Policy created: {policy_arn}")
# Attach to viewer1
iam.attach_user_policy(
UserName="viewer1",
PolicyArn=policy_arn
)
print("Policy attached to viewer1")
# Attach to viewer2
iam.attach_user_policy(
UserName="viewer2",
PolicyArn=policy_arn
)
print("Policy attached to viewer2")
```
# AWS politiche gestite per Amazon Bedrock
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le politiche AWS gestite che scrivere le politiche da soli. La [creazione di policy gestite dai clienti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste policy coprono i casi d’uso comuni e sono disponibili nell’account Account AWS.
Per un elenco delle politiche AWS gestite, consulta [le politiche AWS gestite](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/policy-list.html) nel riferimento alle politiche AWS gestite. Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy **ReadOnlyAccess** AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l’elenco e la descrizione delle policy di funzione dei processi, consultare la sezione [Policy gestite da AWS per funzioni di processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
**Topics**
+ [AWS politica gestita: AmazonBedrockFullAccess](#security-iam-awsmanpol-AmazonBedrockFullAccess)
+ [AWS politica gestita: AmazonBedrockReadOnly](#security-iam-awsmanpol-AmazonBedrockReadOnly)
+ [AWS politica gestita: AmazonBedrockLimitedAccess](#security-iam-awsmanpol-AmazonBedrockLimitedAccess)
+ [AWS politica gestita: AmazonBedrockMarketplaceAccess](#security-iam-awsmanpol-AmazonBedrockMarketplaceAccess)
+ [AWS politica gestita: AmazonBedrockMantleFullAccess](#security-iam-awsmanpol-AmazonBedrockMantleFullAccess)
+ [AWS politica gestita: AmazonBedrockMantleReadOnly](#security-iam-awsmanpol-AmazonBedrockMantleReadOnly)
+ [AWS politica gestita: AmazonBedrockMantleInferenceAccess](#security-iam-awsmanpol-AmazonBedrockMantleInferenceAccess)
+ [Amazon Bedrock si aggiorna alle politiche AWS gestite](#security-iam-awsmanpol-updates)
## AWS politica gestita: AmazonBedrockFullAccess
Puoi allegare la [AmazonBedrockFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockFullAccess.html)policy alle tue identità IAM per concedere autorizzazioni amministrative che consentono all'utente di creare, leggere, aggiornare ed eliminare risorse Amazon Bedrock.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `ec2`(Amazon Elastic Compute Cloud): consente le autorizzazioni per descrivere VPCs, sottoreti e gruppi di sicurezza.
+ `iam`(AWS Identity and Access Management): consente ai responsabili di passare i ruoli, ma consente solo ai ruoli IAM contenenti «Amazon Bedrock» di essere trasferiti al servizio Amazon Bedrock. Le autorizzazioni sono limitate a `bedrock.amazonaws.com` per le operazioni Amazon Bedrock.
+ `kms`(AWS Key Management Service): consente ai responsabili di descrivere AWS KMS chiavi e alias.
+ `bedrock` (Amazon Bedrock): consente ai principali di accedere in lettura e scrittura a tutte le azioni nel piano di controllo (control-plane) e nel servizio di runtime di Amazon Bedrock.
+ `sagemaker`(Amazon SageMaker AI): consente ai mandanti di accedere alle risorse Amazon SageMaker AI nell'account del cliente, che funge da base per la funzionalità Amazon Bedrock Marketplace.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BedrockAll",
"Effect": "Allow",
"Action": [
"bedrock:*"
],
"Resource": "*"
},
{
"Sid": "DescribeKey",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "arn:*:kms:*:::*"
},
{
"Sid": "APIsWithAllResourceAccess",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "MarketplaceModelEndpointMutatingAPIs",
"Effect": "Allow",
"Action": [
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateModel",
"sagemaker:DeleteEndpoint",
"sagemaker:UpdateEndpoint"
],
"Resource": [
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:model/*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "bedrock.amazonaws.com",
"aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
}
}
},
{
"Sid": "MarketplaceModelEndpointAddTagsOperations",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:model/*"
],
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"sagemaker-sdk:bedrock",
"bedrock:marketplace-registration-status",
"sagemaker-studio:hub-content-arn"
]
},
"StringLike": {
"aws:RequestTag/sagemaker-sdk:bedrock": "compatible",
"aws:RequestTag/bedrock:marketplace-registration-status": "registered",
"aws:RequestTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
}
}
},
{
"Sid": "MarketplaceModelEndpointDeleteTagsOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:model/*"
],
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"sagemaker-sdk:bedrock",
"bedrock:marketplace-registration-status",
"sagemaker-studio:hub-content-arn"
]
},
"StringLike": {
"aws:ResourceTag/sagemaker-sdk:bedrock": "compatible",
"aws:ResourceTag/bedrock:marketplace-registration-status": "registered",
"aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
}
}
},
{
"Sid": "MarketplaceModelEndpointNonMutatingAPIs",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:DescribeInferenceComponent",
"sagemaker:ListEndpoints",
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:model/*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "bedrock.amazonaws.com"
}
}
},
{
"Sid": "MarketplaceModelEndpointInvokingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointWithResponseStream"
],
"Resource": [
"arn:aws:sagemaker:*:*:endpoint/*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "bedrock.amazonaws.com",
"aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
}
}
},
{
"Sid": "DiscoveringMarketplaceModel",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeHubContent"
],
"Resource": [
"arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*",
"arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
]
},
{
"Sid": "AllowMarketplaceModelsListing",
"Effect": "Allow",
"Action": [
"sagemaker:ListHubContents"
],
"Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
},
{
"Sid": "PassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/*SageMaker*ForBedrock*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"bedrock.amazonaws.com"
]
}
}
},
{
"Sid": "PassRoleToBedrock",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonBedrock*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"bedrock.amazonaws.com"
]
}
}
},
{
"Sid": "MarketplaceOperationsFromBedrockFor3pModels",
"Effect": "Allow",
"Action": [
"aws-marketplace:Subscribe",
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Unsubscribe"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "bedrock.amazonaws.com"
}
}
}
]
}
```
------
## AWS politica gestita: AmazonBedrockReadOnly
Puoi allegare la [AmazonBedrockReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockReadOnly.html)policy alle tue identità IAM per concedere autorizzazioni di sola lettura per visualizzare tutte le risorse in Amazon Bedrock.
## AWS politica gestita: AmazonBedrockLimitedAccess
Puoi allegare la [AmazonBedrockLimitedAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockLimitedAccess.html)policy alle tue identità IAM per consentirle l'accesso ai servizi Amazon Bedrock, alla gestione delle AWS KMS chiavi, alle risorse di rete e agli abbonamenti AWS Marketplace per modelli di base di terze parti. La policy include le seguenti istruzioni:
+ L’istruzione `BedrockAPIs` consente di eseguire diverse operazioni in Amazon Bedrock, tra cui:
+ Trasferire la chiave API Amazon Bedrock quando si effettuano richieste API al servizio Amazon Bedrock.
+ Descrivere le informazioni sulle risorse.
+ Creare risorse (guardrail, modelli, processi).
+ Creare e perfezionare policy di ragionamento automatico (creazione, compilazione, perfezionamento e test delle policy).
+ Eliminare le risorse.
+ Invocare modelli su tutte le risorse.
+ L’istruzione `DescribeKey` consente di visualizzare le informazioni sulle chiavi KMS in tutte le Regioni e in tutti gli account, a condizione che le policy delle chiavi lo consentano.
+ L’istruzione `APIsWithAllResourceAccess` consente di:
+ Elencare i ruoli IAM.
+ Descrivi le risorse Amazon VPC (VPCssottoreti e gruppi di sicurezza) in tutte le risorse.
+ L’istruzione `MarketplaceOperationsFromBedrockFor3pModels` consente di:
+ Abbonati alle offerte. Marketplace AWS
+ Rinnovare l’abbonamento.
+ Annulla l'iscrizione alle offerte Marketplace AWS .
**Nota**
La chiave di condizione `aws:CalledViaLast` limita queste azioni solo quando vengono chiamate tramite il servizio Amazon Bedrock.
## AWS politica gestita: AmazonBedrockMarketplaceAccess
Puoi collegare la [AmazonBedrockMarketplaceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockMarketplaceAccess.html)policy alle tue identità IAM per consentirle di gestire e utilizzare gli endpoint del modello di marketplace Amazon Bedrock con SageMaker integrazione AI. La policy include le seguenti istruzioni:
+ L’istruzione `BedrockMarketplaceAPIs` consente di creare, eliminare, registrare, annullare la registrazione e aggiornare gli endpoint del modello del marketplace in Amazon Bedrock su tutte le risorse.
+ La `MarketplaceModelEndpointMutatingAPIs` dichiarazione consente di creare e gestire endpoint di SageMaker intelligenza artificiale, configurazioni di endpoint e modelli su risorse specifiche.
+ Utilizzare la chiave di condizione `aws:CalledViaLast` per garantire che queste azioni vengano eseguite solo quando chiamate tramite Bedrock.
+ Utilizzare la chiave di condizione `aws:ResourceTag/sagemaker-sdk:bedrock` per garantire che queste azioni vengano eseguite solo su risorse contrassegnate come compatibili con Amazon Bedrock.
+ L'`MarketplaceModelEndpointAddTagsOperations`istruzione consente di aggiungere tag specifici agli endpoint di SageMaker intelligenza artificiale, alle configurazioni degli endpoint e ai modelli su risorse specifiche.
+ Utilizzare la chiave di condizione `aws:TagKeys` per limitare i tag che possono essere aggiunti
+ Utilizzare la chiave di condizione `aws:RequestTag/*` per garantire che i valori dei tag corrispondano ai modelli specificati
+ L'`MarketplaceModelEndpointDeleteTagsOperations`istruzione consente di eliminare tag specifici dagli endpoint SageMaker AI, dalle configurazioni degli endpoint e dai modelli su risorse specifiche.
+ Utilizzare la chiave di condizione `aws:TagKeys` per limitare i tag che possono essere eliminati
+ Utilizzare la chiave di condizione `aws:ResourceTag/*` per garantire che i valori dei tag eliminati corrispondano ai modelli specificati
+ L'`MarketplaceModelEndpointNonMutatingAPIs`informativa consente di visualizzare e descrivere gli endpoint di SageMaker intelligenza artificiale, le configurazioni degli endpoint e i modelli su risorse specifiche.
+ Utilizzare la chiave di condizione `aws:CalledViaLast` per assicurare che le azioni vengano eseguite solo tramite il servizio Amazon Bedrock
+ L'`MarketplaceModelEndpointInvokingOperations`istruzione consente di richiamare gli endpoint SageMaker AI su risorse specifiche.
+ Utilizzare la chiave di condizione `aws:CalledViaLast` per garantire che le azioni vengano eseguite solo tramite il servizio Amazon Bedrock
+ Utilizzare la chiave di condizione `aws:ResourceTag/sagemaker-sdk:bedrock` per garantire che le azioni vengano eseguite solo su risorse compatibili con Bedrock
+ L'`DiscoveringMarketplaceModel`istruzione consente di descrivere il contenuto dell'hub SageMaker AI su risorse specifiche.
+ L'`AllowMarketplaceModelsListing`istruzione consente di elencare i contenuti dell'hub SageMaker AI su risorse specifiche.
+ L'`PassRoleToSageMaker`istruzione consente di passare ruoli IAM ad SageMaker AI e Amazon Bedrock su risorse specifiche.
+ Utilizzare la chiave di condizione `iam:PassedToService` per garantire che i ruoli vengano trasferiti solo a servizi specifici.
+ L’istruzione `PassRoleToBedrock` consente di trasferire i ruoli IAM specifici ad Amazon Bedrock su risorse specifiche.
+ Utilizzare la chiave di condizione `iam:PassedToService` per garantire che le azioni vengano eseguite solo tramite il servizio Amazon Bedrock.
## AWS politica gestita: AmazonBedrockMantleFullAccess
Puoi allegare la [AmazonBedrockMantleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockMantleFullAccess.html)policy alle tue identità IAM per garantire l'accesso completo a tutte le operazioni di Amazon Bedrock Mantle.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `bedrock-mantle`(Amazon Bedrock Mantle): consente ai mandanti l'accesso completo a tutte le azioni del servizio Amazon Bedrock Mantle.
## AWS politica gestita: AmazonBedrockMantleReadOnly
Puoi allegare la [AmazonBedrockMantleReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockMantleReadOnly.html)policy alle tue identità IAM per concedere autorizzazioni di sola lettura per visualizzare le risorse di Amazon Bedrock Mantle e effettuare chiamate con token bearer.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `bedrock-mantle`(Amazon Bedrock Mantle): consente ai responsabili di ottenere ed elencare le risorse del progetto Amazon Bedrock Mantle e di effettuare chiamate con il token bearer per l'autenticazione.
## AWS politica gestita: AmazonBedrockMantleInferenceAccess
Puoi allegare la [AmazonBedrockMantleInferenceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockMantleInferenceAccess.html)policy alle tue identità IAM per concedere le autorizzazioni per eseguire inferenze sui modelli Amazon Bedrock Mantle.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `bedrock-mantle`(Amazon Bedrock Mantle): consente ai responsabili di ottenere ed elencare le risorse del progetto Amazon Bedrock Mantle, creare richieste di inferenza e effettuare chiamate con token bearer per l'autenticazione.
## Amazon Bedrock si aggiorna alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon Bedrock da quando questo servizio ha iniziato a tracciare queste modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, iscriversi al feed RSS alla pagina [Cronologia dei documenti per la Guida per l’utente di Amazon Bedrock](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AmazonBedrockMantleFullAccess](#security-iam-awsmanpol-AmazonBedrockMantleFullAccess): nuova policy | Amazon Bedrock ha aggiunto una nuova politica per garantire l'accesso completo a tutte le operazioni di Amazon Bedrock Mantle. | 3 dicembre 2025 |
| [AmazonBedrockMantleReadOnly](#security-iam-awsmanpol-AmazonBedrockMantleReadOnly): nuova policy | Amazon Bedrock ha aggiunto una nuova politica per concedere l'accesso in sola lettura alle risorse di Amazon Bedrock Mantle. | 3 dicembre 2025 |
| [AmazonBedrockMantleInferenceAccess](#security-iam-awsmanpol-AmazonBedrockMantleInferenceAccess): nuova policy | Amazon Bedrock ha aggiunto una nuova policy per concedere l'accesso all'inferenza ai modelli Amazon Bedrock Mantle. | 3 dicembre 2025 |
| [AmazonBedrockFullAccess](#security-iam-awsmanpol-AmazonBedrockFullAccess)— Politica aggiornata | Amazon Bedrock ha aggiornato la policy AmazonBedrockFullAccess gestita per consentire l'accesso a tutti i modelli di base serverless per impostazione predefinita. | 14 luglio 2025 |
| [AmazonBedrockMarketplaceAccess](#security-iam-awsmanpol-AmazonBedrockLimitedAccess): nuova policy | Amazon Bedrock ha aggiunto una nuova politica per concedere ai clienti le autorizzazioni per accedere ai modelli base di Amazon Bedrock Marketplace tramite SageMaker un endpoint di intelligenza artificiale. | 13 giugno 2025 |
| [AmazonBedrockLimitedAccess](#security-iam-awsmanpol-AmazonBedrockLimitedAccess): nuova policy | Amazon Bedrock ha aggiunto una nuova policy per concedere ai clienti le autorizzazioni di base per accedere alle azioni principali in Amazon Bedrock. | 13 giugno 2025 |
| [AmazonBedrockFullAccess](#security-iam-awsmanpol-AmazonBedrockFullAccess)— Politica aggiornata | Amazon Bedrock ha aggiornato la politica AmazonBedrockFullAccess gestita per concedere ai clienti le autorizzazioni necessarie per creare, leggere, aggiornare ed eliminare le risorse di Amazon Bedrock Marketplace. Ciò include le autorizzazioni per gestire le risorse Amazon SageMaker AI sottostanti, in quanto fungono da base per la funzionalità di Amazon Bedrock Marketplace. | 4 dicembre 2024 |
| [AmazonBedrockReadOnly](#security-iam-awsmanpol-AmazonBedrockReadOnly)— Politica aggiornata | Amazon Bedrock ha aggiornato la politica AmazonBedrockReadOnly gestita per concedere ai clienti le autorizzazioni necessarie per leggere le risorse di Amazon Bedrock Marketplace. Ciò include le autorizzazioni per gestire le risorse Amazon SageMaker AI sottostanti, in quanto fungono da base per la funzionalità di Amazon Bedrock Marketplace. | 4 dicembre 2024 |
| [AmazonBedrockReadOnly](#security-iam-awsmanpol-AmazonBedrockReadOnly)— Politica aggiornata | Amazon Bedrock ha aggiornato la AmazonBedrockReadOnly policy per includere autorizzazioni di sola lettura per l'importazione di modelli personalizzati. | 18 ottobre 2024 |
| [AmazonBedrockReadOnly](#security-iam-awsmanpol-AmazonBedrockReadOnly)— Politica aggiornata | Amazon Bedrock ha aggiunto le autorizzazioni in sola lettura per il profilo di inferenza. | 27 agosto 2024 |
| [AmazonBedrockReadOnly](#security-iam-awsmanpol-AmazonBedrockReadOnly)— Politica aggiornata | Amazon Bedrock ha aggiornato la AmazonBedrockReadOnly policy per includere autorizzazioni di sola lettura per Amazon Bedrock Guardrails, la valutazione del modello Amazon Bedrock e l'inferenza di Amazon Bedrock Batch. | 21 agosto 2024 |
| [AmazonBedrockReadOnly](#security-iam-awsmanpol-AmazonBedrockReadOnly)— Politica aggiornata | Amazon Bedrock ha aggiunto le autorizzazioni di sola lettura per l’inferenza in batch (processo di invocazione del modello). | 21 agosto 2024 |
| [AmazonBedrockReadOnly](#security-iam-awsmanpol-AmazonBedrockReadOnly)— Politica aggiornata | Amazon Bedrock ha aggiornato la AmazonBedrockReadOnly policy per includere autorizzazioni di sola lettura per Amazon Bedrock Custom Model Import. | 3 settembre 2024 |
| [AmazonBedrockFullAccess](#security-iam-awsmanpol-AmazonBedrockFullAccess): nuova policy | Amazon Bedrock ha aggiunto una nuova policy per concedere agli utenti le autorizzazioni per creare, leggere, aggiornare ed eliminare le risorse. | 12 dicembre 2023 |
| [AmazonBedrockReadOnly](#security-iam-awsmanpol-AmazonBedrockReadOnly): nuova policy | Amazon Bedrock ha aggiunto una nuova policy per fornire agli utenti le autorizzazioni di sola lettura per tutte le azioni. | 12 dicembre 2023 |
| Amazon Bedrock ha cominciato a tenere traccia delle modifiche | Amazon Bedrock ha iniziato a tracciare le modifiche per le sue politiche AWS gestite. | 12 dicembre 2023 |
# Ruoli di servizio
Amazon Bedrock utilizza i [ruoli di servizio IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per alcune funzionalità in modo da poter svolgere attività per tuo conto.
La console crea automaticamente ruoli di servizio per le funzionalità supportate.
Puoi anche creare un ruolo di servizio personalizzato e personalizzare le autorizzazioni associate in base al tuo caso d’uso specifico. Se utilizzi la console, puoi selezionare questo ruolo anziché lasciare che Amazon Bedrock ne crei uno per te.
Per configurare il ruolo di servizio personalizzato, completa le fasi generali elencate di seguito.
1. Crea il ruolo seguendo la procedura descritta in [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
1. Associa una **policy di attendibilità**.
1. Associa le autorizzazioni pertinenti **basate sull’identità**.
**Importante**
Quando imposti l’autorizzazione `iam:PassRole`, assicurati che un utente non possa passare un ruolo nel caso in cui questo disponga di maggiori autorizzazioni rispetto a quelle che dovrebbe avere l’utente. Ad esempio, Alice potrebbe non essere autorizzata a eseguire l’operazione `bedrock:InvokeModel` su un modello personalizzato. Se Alice può passare un ruolo ad Amazon Bedrock per creare una valutazione di tale modello personalizzato, il servizio potrebbe invocare il modello per conto di Alice durante l’esecuzione del processo.
Per ulteriori informazioni sui concetti IAM pertinenti all’impostazione delle autorizzazioni dei ruoli di servizio, fai riferimento ai seguenti link.
+ [AWS ruolo del servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)
+ [Policy basate sulle identità e policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)
+ [Utilizzo di politiche basate sulle risorse per Lambda](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html)
+ [AWS chiavi di contesto della condizione globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [Chiavi delle condizioni per Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)
Seleziona un argomento per saperne di più sui ruoli di servizio per una funzionalità specifica.
**Topics**
+ [Creazione di un ruolo di servizio per l’inferenza in batch](batch-iam-sr.md)
+ [Creazione di un ruolo di servizio per la personalizzazione del modello](model-customization-iam-role.md)
+ [Creazione di un ruolo di servizio per l’importazione di modelli pre-addestrati](model-import-iam-role.md)
+ [Creazione di un ruolo di servizio per Agent per Amazon Bedrock](agents-permissions.md)
+ [Creare un ruolo di servizio per Knowledge Base per Amazon Bedrock](kb-permissions.md)
+ [Creare un ruolo di servizio per Amazon Bedrock Flows in Amazon Bedrock](flows-permissions.md)
+ [Requisiti del ruolo di servizio per i processi di valutazione del modello](model-evaluation-security-service-roles.md)
# Creazione di un ruolo di servizio per l’inferenza in batch
Per utilizzare un ruolo di servizio personalizzato per l'inferenza in batch anziché quello che Amazon Bedrock crea automaticamente per te inConsole di gestione AWS, crea un ruolo IAM e assegna le seguenti autorizzazioni seguendo la procedura descritta in [Creazione di un ruolo per delegare le autorizzazioni a un](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) servizio. AWS
**Topics**
+ [Relazione di attendibilità](#batch-iam-sr-trust)
+ [Autorizzazioni basate su identità per il ruolo di servizio per l’inferenza in batch.](#batch-iam-sr-identity)
## Relazione di attendibilità
La seguente policy di affidabilità consente ad Amazon Bedrock di assumere questo ruolo e di inviare e gestire processi di inferenza in batch. Sostituisci se necessario. *values* La policy contiene chiavi di condizione opzionali (vedi [Chiavi di condizione Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) e [chiavi di contesto delle condizioni globali AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) nel campo `Condition` che ti consigliamo di utilizzare come best practice di sicurezza.
**Nota**
Come procedura consigliata per motivi di sicurezza, sostituiteli *\$1* con un processo di inferenza in batch specifico IDs dopo averli creati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
}
}
}
]
}
```
------
## Autorizzazioni basate su identità per il ruolo di servizio per l’inferenza in batch.
Negli argomenti riportati di seguito vengono forniti e descritti esempi di policy di autorizzazione che potrebbe essere necessario collegare al ruolo di servizio personalizzato per l’inferenza in batch, a seconda del caso d’uso.
**Topics**
+ [(Obbligatorio) Autorizzazioni per accedere ai dati di input e output in Amazon S3](#batch-iam-sr-s3)
+ [(Facoltativo) Autorizzazioni per eseguire l’inferenza in batch con profili di inferenza](#batch-iam-sr-ip)
### (Obbligatorio) Autorizzazioni per accedere ai dati di input e output in Amazon S3
Per consentire a un ruolo di servizio di accedere al bucket Amazon S3 che contiene i dati di input e al bucket in cui devono essere scritti, collega al ruolo di servizio la policy indicata di seguito. Sostituire *values* se necessario.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${InputBucket}",
"arn:aws:s3:::${InputBucket}/*",
"arn:aws:s3:::${OutputBucket}",
"arn:aws:s3:::${OutputBucket}/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": [
"123456789012"
]
}
}
}
]
}
```
------
### (Facoltativo) Autorizzazioni per eseguire l’inferenza in batch con profili di inferenza
Per eseguire l'inferenza in batch con un [profilo di inferenza](inference-profiles.md), un ruolo di servizio deve disporre delle autorizzazioni per richiamare il profilo di inferenza in un modelloRegione AWS, oltre al modello in ogni regione del profilo di inferenza.
Per le autorizzazioni da invocare con un profilo di inferenza tra Regioni (definito dal sistema), come modello per la policy di autorizzazioni da collegare al tuo ruolo di servizio utilizza la seguente policy:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
]
}
]
}
```
------
Per le autorizzazioni da invocare con un profilo di inferenza dell’applicazione tra Regioni, come modello per la policy di autorizzazioni da collegare al tuo ruolo di servizio utilizza la seguente policy:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ApplicationInferenceProfile",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/${InferenceProfileId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
]
}
]
}
```
------
# Creazione di un ruolo di servizio per la personalizzazione del modello
Per utilizzare un ruolo personalizzato per la personalizzazione del modello anziché quello creato automaticamente da Amazon Bedrock, crea un ruolo IAM e assegna le seguenti autorizzazioni seguendo la procedura descritta in [Creazione di un ruolo per delegare le autorizzazioni a un](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) servizio. AWS
+ Relazione di attendibilità
+ Autorizzazioni per accedere ai dati di addestramento e convalida in S3 e per scrivere i dati di output in S3
+ (Facoltativo) Se una delle seguenti risorse è crittografata con una chiave KMS, le autorizzazioni per decrittare la chiave (consultare [Crittografia di modelli personalizzati](encryption-custom-job.md))
+ Un processo di personalizzazione del modello o il modello personalizzato risultante
+ Dati di addestramento, convalida o output per il processo di personalizzazione del modello
**Topics**
+ [Relazione di attendibilità](#model-customization-iam-role-trust)
+ [Autorizzazioni per accedere ai file di addestramento e convalida e scrivere i file di output in S3](#model-customization-iam-role-s3)
+ [(Facoltativo) Autorizzazioni per creare un processo di distillazione con profili di inferenza interregionale](#customization-iam-sr-ip)
## Relazione di attendibilità
La seguente policy consente ad Amazon Bedrock di assumere questo ruolo ed eseguire il processo di personalizzazione del modello. Di seguito viene riportato un esempio di policy utilizzabile.
Facoltativamente, è possibile limitare l’ambito dell’autorizzazione per la [prevenzione del “confused deputy” multi-servizio](cross-service-confused-deputy-prevention.md) utilizzando una o più chiavi di contesto delle condizioni globali con il campo `Condition`. Per ulteriori informazioni, consulta [Chiavi di contesto delle condizioni globali di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
+ Impostare il valore `aws:SourceAccount` sull’ID dell’account.
+ (Facoltativo) Utilizza la condizione `ArnEquals` o `ArnLike` per limitare l’ambito a specifici processi di personalizzazione del modello nell’ID account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-customization-job/*"
}
}
}
]
}
```
------
## Autorizzazioni per accedere ai file di addestramento e convalida e scrivere i file di output in S3
Collegare la seguente policy per consentire al ruolo di accedere ai dati di addestramento e convalida e al bucket in cui scrivere i dati di output. Sostituire i valori nell’elenco `Resource` con i nomi effettivi dei bucket.
Per limitare l’accesso a una cartella specifica in un bucket, aggiungere una chiave di condizione `s3:prefix` con il percorso della cartella. Puoi seguire l’esempio di **Policy utente** in [Esempio 2: recupero di un elenco di oggetti in un bucket con un prefisso specifico](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::training-bucket",
"arn:aws:s3:::training-bucket/*",
"arn:aws:s3:::validation-bucket",
"arn:aws:s3:::validation-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::output-bucket",
"arn:aws:s3:::output-bucket/*"
]
}
]
}
```
------
## (Facoltativo) Autorizzazioni per creare un processo di distillazione con profili di inferenza interregionale
Per utilizzare un profilo di inferenza interregionale per un modello di insegnante in un lavoro di distillazione, il ruolo di servizio deve disporre delle autorizzazioni per richiamare il profilo di inferenza in unRegione AWS, oltre al modello di ciascuna regione nel profilo di inferenza.
Per le autorizzazioni da invocare con un profilo di inferenza interregionale (definito dal sistema), utilizzare la seguente policy come modello per la policy di autorizzazioni da allegare al ruolo di servizio:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
]
}
]
}
```
------
# Creazione di un ruolo di servizio per l’importazione di modelli pre-addestrati
Per utilizzare un ruolo personalizzato per l’importazione del modello, crea un ruolo di servizio IAM e collega le seguenti autorizzazioni. Per informazioni su come creare un ruolo di servizio in IAM, consulta [Creazione di un ruolo per delegare le autorizzazioni a un AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) servizio.
Queste autorizzazioni si applicano a entrambi i metodi di importazione dei modelli in Amazon Bedrock:
+ **Processi di importazione di modelli personalizzati**: per importare modelli di fondazione open-source personalizzati (come i modelli Mistral AI o Llama). Per ulteriori informazioni, consulta [Usare Custom Model Import per importare un modello open source personalizzato in Amazon Bedrock](model-customization-import-model.md).
+ **Crea un modello personalizzato**: per importare Amazon Nova modelli che hai perfezionato nell'intelligenza artificiale. SageMaker Per ulteriori informazioni, consulta [Importazione di un SageMaker modello Amazon Nova addestrato all'intelligenza artificiale](import-with-create-custom-model.md).
**Topics**
+ [Relazione di attendibilità](#model-import-iam-role-trust)
+ [Autorizzazioni per accedere a file modello in Amazon S3](#model-import-iam-role-s3)
## Relazione di attendibilità
La seguente policy consente ad Amazon Bedrock di assumere questo ruolo ed eseguire le operazioni di personalizzazione del modello. Di seguito viene riportato un esempio di policy utilizzabile.
Facoltativamente, è possibile limitare l’ambito dell’autorizzazione per la [prevenzione del “confused deputy” multi-servizio](cross-service-confused-deputy-prevention.md) utilizzando una o più chiavi di contesto delle condizioni globali con il campo `Condition`. Per ulteriori informazioni, consulta [Chiavi di contesto delle condizioni globali di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
+ Impostare il valore `aws:SourceAccount` sull’ID dell’account.
+ (Facoltativo) Utilizza la condizione `ArnEquals` o `ArnLike` per limitare l’ambito a operazioni specifiche nell’account. L’esempio seguente limita l’accesso ai processi di importazione di modelli personalizzati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-import-job/*"
}
}
}
]
}
```
------
## Autorizzazioni per accedere a file modello in Amazon S3
Collegare la seguente policy per consentire al ruolo di accedere ai file modello nel bucket Amazon S3. Sostituire i valori nell’elenco `Resource` con i nomi effettivi dei bucket.
Per i lavori di importazione di modelli personalizzati, questo è il bucket Amazon S3 contenente i file modello open-source personalizzati. Per creare modelli personalizzati da Amazon Nova modelli SageMaker addestrati all'intelligenza artificiale, questo è il bucket Amazon S3 gestito da Amazon in SageMaker cui l'intelligenza artificiale archivia gli artefatti del modello addestrato. SageMaker L'intelligenza artificiale crea questo bucket quando esegui il tuo primo lavoro di formazione sull'intelligenza artificiale. SageMaker
Per limitare l’accesso a una cartella specifica in un bucket, aggiungere una chiave di condizione `s3:prefix` con il percorso della cartella. Puoi seguire l’esempio di **Policy utente** in [Esempio 2: recupero di un elenco di oggetti in un bucket con un prefisso specifico](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
------
# Creazione di un ruolo di servizio per Agent per Amazon Bedrock
Per utilizzare un ruolo di servizio personalizzato per gli agenti anziché quello creato automaticamente da Amazon Bedrock, crea un ruolo IAM e assegna le seguenti autorizzazioni seguendo la procedura descritta in [Creazione di un ruolo per delegare le autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) a un servizio. AWS
+ Policy di attendibilità
+ Una policy contenente le seguenti autorizzazioni basate sull’identità:
+ Accesso ai modelli Amazon Bedrock di base.
+ Accesso agli oggetti Amazon S3 contenenti gli schemi OpenAPI per i gruppi di operazioni presenti nei tuoi agenti.
+ Autorizzazioni per consentire ad Amazon Bedrock di eseguire query sulle knowledge base che desideri collegare ai tuoi agenti.
+ Se una delle seguenti situazioni riguarda il tuo caso d’uso, aggiungi l’istruzione alla policy o aggiungi una policy con l’istruzione al ruolo di servizio:
+ (Facoltativo) Se abiliti la collaborazione multiagente, le autorizzazioni per ottenere gli alias e invocare gli agenti collaboratori.
+ (Facoltativo) Se associ un throughput assegnato all’alias dell’agente, le autorizzazioni per eseguire l’invocazione del modello utilizzando tale throughput.
+ (Facoltativo) Se associ un guardrail al tuo agente, le autorizzazioni per applicare quel guardrail. Se il guardrail è crittografato con una chiave KMS, il ruolo di servizio avrà bisogno anche delle [autorizzazioni per decrittografare la chiave](guardrails-permissions-kms.md).
+ (Facoltativo) Se crittografi l’agente con una chiave KMS, le [autorizzazioni per decrittografare la chiave](encryption-agents.md).
Inoltre, che utilizzi o meno un ruolo personalizzato, devi collegare una **policy basata sulle risorse** alle funzioni Lambda dei gruppi di operazioni presenti nei tuoi agenti, in modo da fornire al ruolo di servizio le autorizzazioni necessarie per accedere alle funzioni. Per ulteriori informazioni, consulta [Policy basata sulle risorse per consentire ad Amazon Bedrock di invocare una funzione Lambda del gruppo di operazioni](#agents-permissions-lambda).
**Topics**
+ [Relazione di attendibilità](#agents-permissions-trust)
+ [Autorizzazioni basate sull’identità per il ruolo di servizio degli agenti.](#agents-permissions-identity)
+ [(Facoltativo) Policy basata sull’identità per consentire ad Amazon Bedrock di utilizzare il throughput assegnato con il proprio alias dell’agente](#agents-permissions-pt)
+ [(Facoltativo) Policy basata sull’identità per consentire ad Amazon Bedrock di associare e invocare gli agenti collaboratori](#agents-permissions-mac)
+ [(Facoltativo) Policy basata sull’identità per consentire ad Amazon Bedrock di utilizzare i guardrail con il proprio agente](#agents-permissions-gr)
+ [(Facoltativo) Policy basata sull’identità per consentire ad Amazon Bedrock di accedere ai file da S3 da utilizzare con l’interpretazione del codice](#agents-permissions-files-ci)
+ [Policy basata sulle risorse per consentire ad Amazon Bedrock di invocare una funzione Lambda del gruppo di operazioni](#agents-permissions-lambda)
## Relazione di attendibilità
La seguente policy di attendibilità consente ad Amazon Bedrock di assumere questo ruolo e creare e gestire agenti. Sostituisci se necessario. *\$1\$1values\$1* La policy contiene chiavi di condizione opzionali (vedi [Chiavi di condizione Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) e [chiavi di contesto delle condizioni globali AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) nel campo `Condition` che ti consigliamo di utilizzare come best practice di sicurezza.
**Nota**
Come procedura consigliata per motivi di sicurezza, sostituiscili *\$1* con un agente specifico IDs dopo averli creati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:agent/*"
}
}
}
]
}
```
------
## Autorizzazioni basate sull’identità per il ruolo di servizio degli agenti.
Allega la seguente politica per fornire le autorizzazioni per il ruolo di servizio, *\$1\$1values\$1* sostituendole se necessario. La policy contiene le seguenti istruzioni. Ometti un’istruzione se non è applicabile al tuo caso d’uso. La policy contiene chiavi di condizione facoltative (vedi [Chiavi di condizione per Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) e [Chiavi di contesto delle condizioni globali di AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) nel campo `Condition` che ti consigliamo di utilizzare come best practice di sicurezza.
**Nota**
Se crittografi l’agente con una chiave KMS gestita dal cliente, consulta [Crittografia delle risorse degli agenti per gli agenti creati prima del 22 gennaio 2025](encryption-agents.md) per informazioni su eventuali autorizzazioni ulteriori da aggiungere.
+ Autorizzazioni per ricorrere ai modelli di fondazione di Amazon Bedrock per eseguire l’inferenza dei modelli sui prompt utilizzati nell’orchestrazione dell’agente.
+ Autorizzazioni per accedere agli schemi API dei gruppi di operazioni dell’agente in Amazon S3. Ometti questa dichiarazione se il tuo agente non dispone di gruppi di operazioni.
+ Autorizzazioni per accedere alle knowledge base associate all’agente. Ometti questa dichiarazione se l’agente non dispone di knowledge base associate.
+ Autorizzazioni per accedere a una knowledge base di terze parti (Pinecone o Redis Enterprise Cloud) associata all’agente. Ometti questa dichiarazione se la tua knowledge base è proprietaria (Amazon OpenSearch Serverless o Amazon Aurora) o se il tuo agente non dispone di knowledge base associate.
+ Autorizzazioni per accedere a un prompt da Gestione dei prompt. Ometti questa dichiarazione se non intendi testare un prompt da Gestione dei prompt con il tuo agente nella console Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AgentModelInvocationPermissions",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-v2",
"arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-v2:1",
"arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-instant-v1"
]
},
{
"Sid": "AgentActionGroupS3",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/SchemaJson"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Sid": "AgentKnowledgeBaseQuery",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve",
"bedrock:RetrieveAndGenerate"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id"
]
},
{
"Sid": "Agent3PKnowledgeBase",
"Effect": "Allow",
"Action": [
"bedrock:AssociateThirdPartyKnowledgeBase"
],
"Resource": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id",
"Condition": {
"StringEquals": {
"bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
}
}
},
{
"Sid": "AgentPromptManagementConsole",
"Effect": "Allow",
"Action": [
"bedrock:GetPrompt"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:prompt/prompt-id"
]
}
]
}
```
------
## (Facoltativo) Policy basata sull’identità per consentire ad Amazon Bedrock di utilizzare il throughput assegnato con il proprio alias dell’agente
Se associ un [Throughput assegnato](prov-throughput.md) a un alias dell’agente, collega la policy basata sull’identità indicata di seguito al ruolo di servizio o aggiungi l’istruzione alla policy in [Autorizzazioni basate sull’identità per il ruolo di servizio degli agenti.](#agents-permissions-identity).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "UseProvisionedThroughput",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:GetProvisionedModelThroughput"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:provisioned-model/${provisioned-model-id}"
]
}
]
}
```
------
## (Facoltativo) Policy basata sull’identità per consentire ad Amazon Bedrock di associare e invocare gli agenti collaboratori
Se abiliti la [collaborazione multiagente](agents-multi-agent-collaboration.md), collega la seguente policy basata sull’identità al ruolo di servizio o aggiungi l’istruzione alla policy in [Autorizzazioni basate sull’identità per il ruolo di servizio degli agenti.](#agents-permissions-identity).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonBedrockAgentMultiAgentsPolicyProd",
"Effect": "Allow",
"Action": [
"bedrock:GetAgentAlias",
"bedrock:InvokeAgent"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:agent-alias/${agent-id}/${agent-alias-id}"
]
}
]
}
```
------
## (Facoltativo) Policy basata sull’identità per consentire ad Amazon Bedrock di utilizzare i guardrail con il proprio agente
Se associ un [guardrail](guardrails.md) al tuo agente, collega la policy basata sull’identità indicata di seguito al ruolo di servizio o aggiungi l’istruzione alla policy in [Autorizzazioni basate sull’identità per il ruolo di servizio degli agenti.](#agents-permissions-identity).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": "bedrock:ApplyGuardrail",
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/${guardrail-id}"
]
}
]
}
```
------
## (Facoltativo) Policy basata sull’identità per consentire ad Amazon Bedrock di accedere ai file da S3 da utilizzare con l’interpretazione del codice
Se abiliti [Abilitazione dell’interpretazione del codice in Amazon Bedrock](agents-enable-code-interpretation.md), collega la seguente policy basata sull’identità al ruolo di servizio o aggiungi l’istruzione alla policy in [Autorizzazioni basate sull’identità per il ruolo di servizio degli agenti](https://docs.aws.amazon.com//bedrock/latest/userguide/agents-permissions.html#agents-permissions-identity).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonBedrockAgentFileAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectVersionAttributes",
"s3:GetObjectAttributes"
],
"Resource": [
"arn:aws:s3:::[[customerProvidedS3BucketWithKey]]"
]
}
]
}
```
------
## Policy basata sulle risorse per consentire ad Amazon Bedrock di invocare una funzione Lambda del gruppo di operazioni
Segui i passaggi indicati in [Utilizzo delle politiche basate sulle risorse per Lambda](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) e collega la seguente politica basata sulle risorse a una funzione Lambda per consentire ad Amazon Bedrock di accedere alla funzione Lambda per i gruppi di azione del tuo agente, sostituendola se necessario. *\$1\$1values\$1* La policy contiene chiavi di condizione opzionali (vedi [Chiavi di condizione Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) e [chiavi di contesto delle condizioni globali AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) nel campo `Condition` che ti consigliamo di utilizzare come best practice di sicurezza.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessLambdaFunction",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:us-east-1:123456789012:function:function-name",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "123456789012"
},
"ArnLike": {
"AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
# Creare un ruolo di servizio per Knowledge Base per Amazon Bedrock
Per utilizzare un ruolo personalizzato per una knowledge base anziché quello creato automaticamente da Amazon Bedrock, crea un ruolo IAM e assegna le seguenti autorizzazioni seguendo la procedura descritta in [Creazione di un ruolo per delegare le autorizzazioni a](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) un servizio. AWS Includere solo le autorizzazioni necessarie per la sicurezza.
**Nota**
Una policy non può essere condivisa tra più ruoli quando viene utilizzato il ruolo di servizio.
+ Relazione di attendibilità
+ Accesso ai modelli base di Amazon Bedrock
+ Accesso all’origine dati in cui sono archiviati i dati
+ (Se crei un database vettoriale in Amazon OpenSearch Service) Accedi alla tua raccolta di OpenSearch servizi
+ (Se è stato creato un database vettoriale in Amazon Aurora) Accesso al cluster Aurora
+ (Se crei un database vettoriale in Pinecone oRedis Enterprise Cloud) Autorizzazioni per Gestione dei segreti AWS autenticare il tuo account o Pinecone Redis Enterprise Cloud
+ (Facoltativo) Se una delle seguenti risorse è crittografata con una chiave KMS, le autorizzazioni per decrittografare la chiave (consultare [Crittografia delle risorse della knowledge base](encryption-kb.md))
+ La knowledge base
+ Origini dati per la knowledge base
+ Il tuo database vettoriale in Amazon Service OpenSearch
+ Il segreto per il tuo database vettoriale di terze parti in Gestione dei segreti AWS
+ Un processo di importazione dei dati
**Topics**
+ [Relazione di attendibilità](#kb-permissions-trust)
+ [Autorizzazioni per accedere ai modelli Amazon Bedrock](#kb-permissions-access-models)
+ [Autorizzazioni per accedere alle origini dati](#kb-permissions-access-ds)
+ [Autorizzazioni per decrittografare la AWS KMS chiave per le fonti di dati crittografate in Amazon S3](#kb-permissions-kms-datasource)
+ [Autorizzazioni per chattare con il documento](#kb-permissions-chatdoc)
+ [Autorizzazioni per contenuti multimodali](#kb-permissions-multimodal)
+ [Autorizzazioni per accedere all’Indice GenAI di Amazon Kendra](#kb-permissions-kendra)
+ [Autorizzazioni per accedere al tuo database vettoriale in Amazon Serverless OpenSearch](#kb-permissions-oss)
+ [Autorizzazioni per accedere al tuo database vettoriale in OpenSearch Managed Clusters](#kb-permissions-osm)
+ [Autorizzazioni per accedere al cluster di database di Amazon Aurora](#kb-permissions-rds)
+ [Autorizzazioni per accedere al database vettoriale in Analisi Amazon Neptune](#kb-permissions-neptune)
+ [Autorizzazioni per accedere all’archivio vettoriale in Amazon S3 Vectors](#kb-permissions-s3vectors)
+ [Autorizzazioni per accedere a un database vettoriale configurato con un segreto Gestione dei segreti AWS](#kb-permissions-secret)
+ [Autorizzazioni per la gestione AWS di una AWS KMS chiave per l'archiviazione temporanea dei dati durante l'ingestione dei dati](#kb-permissions-kms-ingestion)
+ [Autorizzazioni AWS per gestire un'origine dati dall' AWS account di un altro utente.](#kb-permissions-otherds)
## Relazione di attendibilità
La seguente policy consente ad Amazon Bedrock di assumere questo ruolo e creare e gestire knowledge base. Di seguito viene riportato un esempio di policy utilizzabile. È possibile limitare l’ambito dell’autorizzazione utilizzando una o più chiavi di contesto delle condizioni globali. Per ulteriori informazioni, consulta [Chiavi di contesto delle condizioni globali AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html). Impostare il valore `aws:SourceAccount` sull’ID dell’account. Utilizzare la condizione `ArnEquals` o `ArnLike` per limitare l’ambito a knowledge base specifiche.
**Nota**
Come best practice per motivi di sicurezza, sostituiscili *\$1* con una knowledge base specifica IDs dopo averla creata.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
}
}
}
]
}
```
------
## Autorizzazioni per accedere ai modelli Amazon Bedrock
Collegare la seguente policy per fornire al ruolo le autorizzazioni per utilizzare i modelli di Amazon Bedrock per incorporare i dati di origine.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"bedrock:ListFoundationModels",
"bedrock:ListCustomModels"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/amazon.titan-embed-text-v1",
"arn:aws:bedrock:us-east-1::foundation-model/cohere.embed-english-v3",
"arn:aws:bedrock:us-east-1::foundation-model/cohere.embed-multilingual-v3"
]
}
]
}
```
------
## Autorizzazioni per accedere alle origini dati
Selezionare una delle seguenti origini dati per collegare le autorizzazioni necessarie per il ruolo.
**Topics**
+ [Autorizzazioni per accedere all’origine dati in Amazon S3](#kb-permissions-access-s3)
+ [Autorizzazioni per accedere all’origine dati in Confluence](#kb-permissions-access-confluence)
+ [Autorizzazioni per accedere all'origine SharePoint dati Microsoft](#kb-permissions-access-sharepoint)
+ [Autorizzazioni per accedere alle origini dati in Salesforce](#kb-permissions-access-salesforce)
### Autorizzazioni per accedere all’origine dati in Amazon S3
Se l’origine dati è Amazon S3, collegare la seguente policy per fornire al ruolo le autorizzazioni per accedere al bucket S3 utilizzato per connettersi come origine dati.
Se hai crittografato l'origine dati con una AWS KMS chiave, assegna le autorizzazioni per decrittografare la chiave al ruolo seguendo la procedura riportata qui. [Autorizzazioni per decrittografare la AWS KMS chiave per le fonti di dati in Amazon S3](encryption-kb.md#encryption-kb-ds)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3ListBucketStatement",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Sid": "S3GetObjectStatement",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
------
### Autorizzazioni per accedere all’origine dati in Confluence
**Nota**
Il connettore dell’origine dati in Confluence è disponibile nella versione di anteprima ed è soggetto a modifiche.
Collegare la seguente policy per fornire al ruolo le autorizzazioni per accedere a Confluence.
**Nota**
`secretsmanager:PutSecretValue`è necessario solo se si utilizza l'autenticazione OAuth 2.0 con un token di aggiornamento.
Il token di **accesso** Confluence OAuth2 2.0 ha una scadenza predefinita di 60 minuti. Se il token di accesso scade durante la sincronizzazione dell’origine dati (processo di sincronizzazione), Amazon Bedrock utilizza il token di **aggiornamento** fornito per rigenerarlo. In questo caso vengono rigenerati sia i token di accesso sia quelli di aggiornamento. Per mantenere i token aggiornati dal processo di sincronizzazione corrente al processo di sincronizzazione successivo, Amazon Bedrock richiede write/put le autorizzazioni per le tue credenziali segrete.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:SecretId"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/KeyId"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
### Autorizzazioni per accedere all'origine SharePoint dati Microsoft
**Nota**
SharePoint Data Source Connector è in versione di anteprima ed è soggetto a modifiche.
Allega la seguente politica per fornire le autorizzazioni di accesso SharePoint al ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:SecretId"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/KeyId"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
### Autorizzazioni per accedere alle origini dati in Salesforce
**Nota**
Il connettore delle origini dati in Salesforce è disponibile nella versione di anteprima ed è soggetto a modifiche.
Collegare la seguente policy per fornire al ruolo le autorizzazioni per accedere a Salesforce.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:SecretId"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/KeyId"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Autorizzazioni per decrittografare la AWS KMS chiave per le fonti di dati crittografate in Amazon S3
Se hai crittografato le tue fonti di dati in Amazon S3 con una AWS KMS chiave, allega la seguente policy al tuo ruolo di servizio Amazon Bedrock Knowledge Bases per consentire ad Amazon Bedrock di decrittografare la tua chiave. Sostituisci *\$1\$1Region\$1* e *\$1\$1AccountId\$1* con la regione e l'ID dell'account a cui appartiene la chiave. Sostituiscilo *\$1\$1KeyId\$1* con l'ID della tua AWS KMS chiave.
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:${Region}:${AccountId}:key/${KeyId}"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.${Region}.amazonaws.com"
]
}
}
}]
}
```
## Autorizzazioni per chattare con il documento
Collegare la seguente policy per fornire al ruolo le autorizzazioni per utilizzare i modelli di Amazon Bedrock per chattare con il documento:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"bedrock:RetrieveAndGenerate"
],
"Resource": "*"
}
]
}
```
------
Per concedere a un utente solo l’accesso per chattare con il documento (e non per `RetrieveAndGenerate` in tutte le knowledge base), utilizzare la seguente policy:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"bedrock:RetrieveAndGenerate"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"bedrock:Retrieve"
],
"Resource": "*"
}
]
}
```
------
Se desideri utilizzare il documento tramite chat e utilizzarlo `RetrieveAndGenerate` su una Knowledge Base specifica*\$1\$1KnowledgeBaseArn\$1*, fornisci e utilizza la seguente politica:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"bedrock:RetrieveAndGenerate"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"bedrock:Retrieve"
],
"Resource": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/$KnowledgeBaseId"
}
]
}
```
------
## Autorizzazioni per contenuti multimodali
Quando si lavora con contenuti multimodali (immagini, audio, video), sono necessarie autorizzazioni aggiuntive a seconda dell'approccio di elaborazione.
### Autorizzazioni Nova Multimodal Embeddings
Quando utilizzate Nova Multimodal Embeddings, allegate la seguente politica per fornire le autorizzazioni per la chiamata asincrona del modello:
```
{
"Sid": "BedrockInvokeModelStatement",
"Effect": "Allow",
"Action": ["bedrock:InvokeModel"],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/amazon.nova-*-multimodal-embeddings-*",
"arn:aws:bedrock:us-east-1::async-invoke/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": ""
}
}
},
{
"Sid": "BedrockGetAsyncInvokeStatement",
"Effect": "Allow",
"Action": ["bedrock:GetAsyncInvoke"],
"Resource": ["arn:aws:bedrock:us-east-1::async-invoke/*"],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": ""
}
}
}
```
### Autorizzazioni Bedrock Data Automation (BDA)
Quando utilizzi BDA per elaborare contenuti multimodali, allega la seguente politica:
```
{
"Sid": "BDAInvokeStatement",
"Effect": "Allow",
"Action": ["bedrock:InvokeDataAutomationAsync"],
"Resource": [
"arn:aws:bedrock:us-east-1:aws:data-automation-project/public-rag-default",
"arn:aws:bedrock:us-east-1::data-automation-profile/*"
]
},
{
"Sid": "BDAGetStatement",
"Effect": "Allow",
"Action": ["bedrock:GetDataAutomationStatus"],
"Resource": "arn:aws:bedrock:us-east-1::data-automation-invocation/*"
}
```
Se utilizzi AWS KMS chiavi gestite dal cliente con BDA, allega anche la seguente politica. Sostituisci *account-id* e *key-id* con *region* i tuoi valori specifici:
```
{
"Sid": "KmsPermissionStatementForBDA",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": ["arn:aws:kms:region:account-id:key/key-id"],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "account-id",
"kms:ViaService": "bedrock.region.amazonaws.com"
}
}
}
```
## Autorizzazioni per accedere all’Indice GenAI di Amazon Kendra
Se è stato creato un Indice GenAI di Amazon Kendra per la knowledge base, collegare la seguente policy al ruolo di servizio di Knowledge Base per Amazon Bedrock per consentire l’accesso all’indice. Nella politica, sostituisci*\$1\$1Partition\$1*, *\$1\$1Region\$1**\$1\$1AccountId\$1*, e *\$1\$1IndexId\$1* con i valori del tuo indice. È possibile consentire l’accesso a più cluster di database aggiungendoli all’elenco `Resource`. Per consentire l'accesso a tutti gli indici del tuo Account AWS, sostituiscilo *\$1\$1IndexId\$1* con un carattere jolly (\$1).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kendra:Retrieve",
"kendra:DescribeIndex"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/${IndexId}"
}
]
}
```
------
## Autorizzazioni per accedere al tuo database vettoriale in Amazon Serverless OpenSearch
Se hai creato un database vettoriale in OpenSearch Serverless per la tua knowledge base, allega la seguente policy al tuo ruolo di servizio Amazon Bedrock Knowledge Bases per consentire l'accesso alla raccolta. Sostituisci *\$1\$1Region\$1* e *\$1\$1AccountId\$1* con la regione e l'ID dell'account a cui appartiene il database. Inserisci l'ID della tua collezione Amazon OpenSearch Service*\$1\$1CollectionId\$1*. È possibile consentire l’accesso a più raccolte aggiungendole all’elenco `Resource`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll"
],
"Resource": [
"arn:aws:aoss:us-east-1:123456789012:collection/${CollectionId}"
]
}
]
}
```
------
## Autorizzazioni per accedere al tuo database vettoriale in OpenSearch Managed Clusters
Se hai creato un database vettoriale in OpenSearch Managed Cluster per la tua knowledge base, allega la seguente policy al tuo ruolo di servizio Amazon Bedrock Knowledge Bases per consentire l'accesso al dominio. Sostituisci ** e ** con la regione e l'ID dell'account a cui appartiene il database. È possibile consentire l’accesso a più domini aggiungendoli all’elenco `Resource`. Per ulteriori informazioni sulla configurazione delle autorizzazioni, consultare [Prerequisiti e autorizzazioni necessari per l'utilizzo di OpenSearch Managed Clusters con Amazon Bedrock Knowledge BasesPanoramica della configurazione delle autorizzazioni](kb-osm-permissions-prereq.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"es:ESHttpGet",
"es:ESHttpPost",
"es:ESHttpPut",
"es:ESHttpDelete"
],
"Resource": [
"arn:aws:es:us-east-1:123456789012:domain/domainName/indexName"
]
},
{
"Effect": "Allow",
"Action": [
"es:DescribeDomain"
],
"Resource": [
"arn:aws:es:us-east-1:123456789012:domain/domainName"
]
}
]
}
```
------
## Autorizzazioni per accedere al cluster di database di Amazon Aurora
**Nota**
Il cluster Amazon Aurora deve risiedere nello stesso in cui è Account AWS stata creata la knowledge base per Amazon Bedrock.
Se è stato creato un cluster di database (DB) in Amazon Aurora per la knowledge base, collegare la seguente policy al ruolo di servizio di Knowledge Base per Amazon Bedrock per consentire l’accesso al cluster di database e fornire autorizzazioni in lettura e scrittura su di esso. Sostituisci *\$1\$1Region\$1* e *\$1\$1AccountId\$1* con la regione e l'ID dell'account a cui appartiene il cluster DB. Inserisci l'ID del tuo cluster di database Amazon Aurora. *\$1\$1DbClusterId\$1* È possibile consentire l’accesso a più cluster di database aggiungendole all’elenco `Resource`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RdsDescribeStatementID",
"Effect": "Allow",
"Action": [
"rds:DescribeDBClusters"
],
"Resource": [
"arn:aws:rds:us-east-1:123456789012:cluster:${DbClusterId}"
]
},
{
"Sid": "DataAPIStatementID",
"Effect": "Allow",
"Action": [
"rds-data:BatchExecuteStatement",
"rds-data:ExecuteStatement"
],
"Resource": [
"arn:aws:rds:us-east-1:123456789012:cluster:${DbClusterId}"
]
}
]
}
```
------
## Autorizzazioni per accedere al database vettoriale in Analisi Amazon Neptune
Se è stato creato un grafo di Analisi Amazon Neptune per la knowledge base, collegare la seguente policy al ruolo di servizio di Knowledge Base per Amazon Bedrock per consentire l’accesso al grafo. Nella policy, sostituisci *\$1\$1Region\$1* e *\$1\$1AccountId\$1* con la regione e l'ID dell'account a cui appartiene il database. Sostituiscilo *\$1\$1GraphId\$1* con i valori del tuo database grafico.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "NeptuneAnalyticsAccess",
"Effect": "Allow",
"Action": [
"neptune-graph:GetGraph",
"neptune-graph:ReadDataViaQuery",
"neptune-graph:WriteDataViaQuery",
"neptune-graph:DeleteDataViaQuery"
],
"Resource": [
"arn:aws:neptune-graph:us-east-1:123456789012:graph/${GraphId}"
]
}
]
}
```
------
## Autorizzazioni per accedere all’archivio vettoriale in Amazon S3 Vectors
Se si è scelto di utilizzare Amazon S3 Vectors per la knowledge base, collegare la seguente policy al ruolo di servizio di Knowledge Base per Amazon Bedrock per consentire l’accesso all’indice vettoriale.
Nella policy, sostituisci *\$1\$1Region\$1* e *\$1\$1AccountId\$1* con la regione e l'ID dell'account a cui appartiene l'indice vettoriale. Sostituiscilo *\$1\$1BucketName\$1* con il nome del tuo bucket vettoriale S3 e *\$1\$1IndexName\$1* con il nome del tuo indice vettoriale. Per ulteriori informazioni su Amazon S3 Vectors, consultare [Configuraz](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-vectors-setting-up.html)ione per utilizzare Amazon S3 Vectors.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3VectorBucketReadAndWritePermission",
"Effect": "Allow",
"Action": [
"s3vectors:PutVectors",
"s3vectors:GetVectors",
"s3vectors:DeleteVectors",
"s3vectors:QueryVectors",
"s3vectors:GetIndex"
],
"Resource": "arn:aws:s3vectors:us-east-1:123456789012:bucket/${BucketName}/index/${IndexName}"
}
]
}
```
------
## Autorizzazioni per accedere a un database vettoriale configurato con un segreto Gestione dei segreti AWS
Se il tuo database vettoriale è configurato con un Gestione dei segreti AWS segreto, allega la seguente policy al tuo ruolo di servizio Amazon Bedrock Knowledge Bases Gestione dei segreti AWS per consentire l'autenticazione del tuo account per accedere al database. Sostituisci *\$1\$1Region\$1* e *\$1\$1AccountId\$1* con la regione e l'ID dell'account a cui appartiene il database. Sostituiscilo *\$1\$1SecretId\$1* con l'ID del tuo segreto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:${SecretId}"
]
}
]
}
```
------
Se hai crittografato il tuo segreto con una AWS KMS chiave, assegna le autorizzazioni per decrittografare la chiave al ruolo seguendo la procedura riportata qui. [Autorizzazioni per decrittografare un Gestione dei segreti AWS segreto per il vector store contenente la tua knowledge base](encryption-kb.md#encryption-kb-3p)
## Autorizzazioni per la gestione AWS di una AWS KMS chiave per l'archiviazione temporanea dei dati durante l'ingestione dei dati
Per consentire la creazione di una AWS KMS chiave per l'archiviazione temporanea dei dati durante il processo di acquisizione della fonte di dati, allega la seguente policy al tuo ruolo di servizio Amazon Bedrock Knowledge Bases. Sostituisci*\$1\$1Region\$1*, e con i *\$1\$1AccountId\$1* valori appropriati*\$1\$1KeyId\$1*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/${KeyId}"
]
}
]
}
```
------
## Autorizzazioni AWS per gestire un'origine dati dall' AWS account di un altro utente.
Per consentire l'accesso all' AWS account di un altro utente, devi creare un ruolo che consenta l'accesso tra account a un bucket Amazon S3 nell'account di un altro utente. Sostituisci *\$1\$1BucketName\$1**\$1\$1BucketOwnerAccountId\$1*, e *\$1\$1BucketNameAndPrefix\$1* con i valori appropriati.
**Autorizzazioni richieste per il ruolo della knowledge base**
Il ruolo della knowledge base fornito durante la creazione della knowledge base `createKnowledgeBase` richiede le seguenti autorizzazioni Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3ListBucketStatement",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Sid": "S3GetObjectStatement",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
------
Se il bucket Amazon S3 è crittografato utilizzando una AWS KMS chiave, è necessario aggiungere anche quanto segue al ruolo della knowledge base. Sostituisci *\$1\$1BucketOwnerAccountId\$1* e *\$1\$1Region\$1* con i valori appropriati.
```
{
"Sid": "KmsDecryptStatement",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:${Region}:${BucketOwnerAccountId}:key/${KeyId}"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.${Region}.amazonaws.com"
]
}
}
}
```
**Autorizzazioni richieste per una policy di bucket Amazon S3 multi-account**
Il bucket nell’altro account richiede la seguente policy di bucket Amazon S3. Sostituire *\$1\$1KbRoleArn\$1**\$1\$1BucketName\$1*, e *\$1\$1BucketNameAndPrefix\$1* con i valori appropriati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListBucket",
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "GetObject",
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
**Autorizzazioni richieste per la politica delle chiavi tra account AWS KMS **
Se il bucket Amazon S3 per più account è crittografato utilizzando AWS KMS una chiave in quell'account, la politica della chiave richiede AWS KMS la seguente politica. Sostituisci *\$1\$1KbRoleArn\$1* e *\$1\$1KmsKeyArn\$1* con i valori appropriati.
```
{
"Sid": "Example policy",
"Effect": "Allow",
"Principal": {
"AWS": [
"${KbRoleArn}"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "${KmsKeyArn}"
}
```
# Creare un ruolo di servizio per Amazon Bedrock Flows in Amazon Bedrock
Per creare e gestire un flusso in Amazon Bedrock, devi utilizzare un ruolo di servizio con le autorizzazioni necessarie descritte in questa pagina. Puoi utilizzare un ruolo di servizio che Amazon Bedrock crea automaticamente per te nella console o utilizzarne uno personalizzato.
**Nota**
Se utilizzi il ruolo di servizio che Amazon Bedrock crea automaticamente per te nella console, il ruolo di servizio allegherà le autorizzazioni in modo dinamico quando aggiungi nodi al flusso e salvi il flusso. Tuttavia, se rimuovi i nodi, le autorizzazioni non saranno eliminate, quindi dovrai eliminare le autorizzazioni che non ti servono più. Per gestire le autorizzazioni per il ruolo creato per te, segui le fasi riportate in [Modifica di un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) nella Guida per l’utente IAM.
Per creare un ruolo di servizio personalizzato per Amazon Bedrock Flows, crea un ruolo IAM seguendo i passaggi descritti in [Creazione di un ruolo per delegare le autorizzazioni a](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) un servizio. AWS Quindi assegna le seguenti autorizzazioni al ruolo.
+ Policy di attendibilità
+ Le seguenti autorizzazioni basate sull’identità:
+ Autorizzazioni di accesso ai modelli base di Amazon Bedrock che saranno utilizzati dal flusso. Aggiungi ciascun modello utilizzato nel flusso all’elenco `Resource`.
+ Se invochi un modello utilizzando la funzionalità Throughput assegnato, autorizzazioni per accedere al modello allocato e invocarlo. Aggiungi ciascun modello utilizzato nel flusso all’elenco `Resource`.
+ Se invochi un modello personalizzato, autorizzazioni per accedere e invocare il modello personalizzato. Aggiungi ciascun modello utilizzato nel flusso all’elenco `Resource`.
+ Autorizzazioni basate sui nodi che aggiungi al flusso:
+ Se includi nodi prompt che utilizzano i prompt di Gestione dei prompt, sono necessarie le autorizzazioni per accedere al prompt. Aggiungi ciascun prompt utilizzato nel flusso all’elenco `Resource`.
+ Se includi nodi knowledge base, sono necessarie le autorizzazioni per eseguire query sulla knowledge base. Aggiungi ciascuna knowledge base sottoposta a query nel flusso all’elenco `Resource`.
+ Se includi nodi agente, sono necessarie le autorizzazioni per invocare un alias dell’agente. Aggiungi ciascun agente invocato nel flusso all’elenco `Resource`.
+ Se includi nodi di recupero S3, sono necessarie le autorizzazioni per accedere al bucket Amazon S3 da cui saranno recuperati i dati. Aggiungi ciascun bucket da cui vengono recuperati i dati all’elenco `Resource`.
+ Se includi nodi di archiviazione S3, sono necessarie le autorizzazioni per scrivere nel bucket Amazon S3 in cui saranno archiviati i dati di output. Aggiungi ciascun bucket in cui vengono scritti i dati all’elenco `Resource`.
+ Se includi i guardrail per un nodo knowledge base o un nodo prompt, sono necessarie le autorizzazioni per applicare i guardrail in un flusso. Aggiungi ciascun guardrail utilizzato nel flusso all’elenco `Resource`.
+ Se includi nodi Lambda, sono necessarie le autorizzazioni per invocare la funzione Lambda. Aggiungi ciascuna funzione Lambda da invocare all’elenco `Resource`.
+ Se includi nodi Amazon Lex, sono necessarie le autorizzazioni per utilizzare il bot Amazon Lex. Aggiungi ciascun alias del bot da utilizzare all’elenco `Resource`.
+ Se hai crittografato una risorsa invocata in un flusso, sono necessarie le autorizzazioni per decrittografare la chiave. Aggiungi ciascuna chiave all’elenco `Resource`.
+ Se crittografi il flusso, devi anche collegare una policy della chiave alla chiave KMS che utilizzi per crittografare il flusso.
**Nota**
Di recente sono state implementate le seguenti modifiche:
In precedenza, AWS Lambda le risorse Amazon Lex venivano richiamate utilizzando il servizio principale Amazon Bedrock. Questo comportamento sta cambiando per i flussi creati dopo il 22 novembre 2024 e il ruolo del servizio Amazon Bedrock Flows verrà utilizzato per richiamare le risorse e AWS Lambda Amazon Lex. Se hai creato flussi che utilizzano una di queste risorse prima del 22 novembre 2024, devi aggiornare i ruoli del servizio Amazon Bedrock Flows con le autorizzazioni Amazon AWS Lambda Lex.
In precedenza, le risorse di gestione dei prompt venivano renderizzate utilizzando l’azione `bedrock:GetPrompt`. Questo comportamento sta cambiando per i flussi creati dopo il 22 novembre 2024 e l’azione `bedrock:RenderPrompt` sarà utilizzata per eseguire il rendering della risorsa prompt. Se hai creato flussi che utilizzano una risorsa prompt prima del 22 novembre 2024, devi aggiornare i ruoli di servizio Amazon Bedrock Flows con le autorizzazioni `bedrock:RenderPrompt`.
Se utilizzi un ruolo di servizio che Amazon Bedrock ha creato automaticamente per te nella console, Amazon Bedrock allegherà le autorizzazioni corrette in modo dinamico quando salvi il flusso.
**Topics**
+ [Relazione di attendibilità](#flows-permissions-trust)
+ [Autorizzazioni basate sull’identità per il ruolo di servizio dei flussi.](#flows-permissions-identity)
## Relazione di attendibilità
Allega la seguente policy di attendibilità al ruolo di esecuzione del flusso per consentire ad Amazon Bedrock di assumere il ruolo e gestire un flusso. Sostituisci il file se necessario. *values* La policy contiene chiavi di condizione opzionali (vedi [Chiavi di condizione Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) e [chiavi di contesto delle condizioni globali AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) nel campo `Condition` che ti consigliamo di utilizzare come best practice di sicurezza.
**Nota**
Come procedura consigliata, sostituiscilo *\$1* con un ID di flusso dopo averlo creato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FlowsTrustBedrock",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:flow/*"
}
}
}
]
}
```
------
## Autorizzazioni basate sull’identità per il ruolo di servizio dei flussi.
Allega la seguente politica per fornire le autorizzazioni per il ruolo di servizio, *values* sostituendole se necessario. La policy contiene le seguenti istruzioni. Ometti un’istruzione se non è applicabile al tuo caso d’uso. La policy contiene chiavi di condizione opzionali (vedi [Chiavi di condizione Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) e [chiavi di contesto delle condizioni globali AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) nel campo `Condition` che ti consigliamo di utilizzare come best practice di sicurezza.
+ Autorizzazioni di accesso ai modelli base di Amazon Bedrock che saranno utilizzati dal flusso. Aggiungi ciascun modello utilizzato nel flusso all’elenco `Resource`.
+ Se invochi un modello utilizzando la funzionalità Throughput assegnato, autorizzazioni per accedere al modello allocato e invocarlo. Aggiungi ciascun modello utilizzato nel flusso all’elenco `Resource`.
+ Se invochi un modello personalizzato, autorizzazioni per accedere e invocare il modello personalizzato. Aggiungi ciascun modello utilizzato nel flusso all’elenco `Resource`.
+ Autorizzazioni basate sui nodi che aggiungi al flusso:
+ Se includi nodi prompt che utilizzano i prompt di Gestione dei prompt, sono necessarie le autorizzazioni per accedere al prompt. Aggiungi ciascun prompt utilizzato nel flusso all’elenco `Resource`.
+ Se includi nodi knowledge base, sono necessarie le autorizzazioni per eseguire query sulla knowledge base. Aggiungi ciascuna knowledge base sottoposta a query nel flusso all’elenco `Resource`.
+ Se includi nodi agente, sono necessarie le autorizzazioni per invocare un alias dell’agente. Aggiungi ciascun agente invocato nel flusso all’elenco `Resource`.
+ Se includi nodi di recupero S3, sono necessarie le autorizzazioni per accedere al bucket Amazon S3 da cui saranno recuperati i dati. Aggiungi ciascun bucket da cui vengono recuperati i dati all’elenco `Resource`.
+ Se includi nodi di archiviazione S3, sono necessarie le autorizzazioni per scrivere nel bucket Amazon S3 in cui saranno archiviati i dati di output. Aggiungi ciascun bucket in cui vengono scritti i dati all’elenco `Resource`.
+ Se includi i guardrail per un nodo knowledge base o un nodo prompt, sono necessarie le autorizzazioni per applicare i guardrail in un flusso. Aggiungi ciascun guardrail utilizzato nel flusso all’elenco `Resource`.
+ Se includi nodi Lambda, sono necessarie le autorizzazioni per invocare la funzione Lambda. Aggiungi ciascuna funzione Lambda da invocare all’elenco `Resource`.
+ Se includi nodi Amazon Lex, sono necessarie le autorizzazioni per utilizzare il bot Amazon Lex. Aggiungi ciascun alias del bot da utilizzare all’elenco `Resource`.
+ Se hai crittografato una risorsa invocata in un flusso, sono necessarie le autorizzazioni per decrittografare la chiave. Aggiungi ciascuna chiave all’elenco `Resource`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeModel",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/ModelId"
]
},
{
"Sid": "InvokeProvisionedThroughput",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:GetProvisionedModelThroughput"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:provisioned-model/ModelId"
]
},
{
"Sid": "InvokeCustomModel",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:GetCustomModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:custom-model/ModelId"
]
},
{
"Sid": "UsePromptFromPromptManagement",
"Effect": "Allow",
"Action": [
"bedrock:RenderPrompt"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:prompt/PromptId"
]
},
{
"Sid": "QueryKnowledgeBase",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
]
},
{
"Sid": "InvokeAgent",
"Effect": "Allow",
"Action": [
"bedrock:InvokeAgent"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:agent-alias/AgentId/AgentAliasId"
]
},
{
"Sid": "AccessS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Sid": "WriteToS3Bucket",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Sid": "GuardrailPermissions",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/GuardrailId"
]
},
{
"Sid": "LambdaPermissions",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:us-east-1:123456789012:function:FunctionId"
]
},
{
"Sid": "AmazonLexPermissions",
"Effect": "Allow",
"Action": [
"lex:RecognizeUtterance"
],
"Resource": [
"arn:aws:lex:us-east-1:123456789012:bot-alias/BotId/BotAliasId"
]
},
{
"Sid": "KMSPermissions",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/KeyId"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
------
# Requisiti del ruolo di servizio per i processi di valutazione del modello
Per creare un processo di valutazione del modello, è necessario specificare un ruolo di servizio. Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per maggiori informazioni, consultare la sezione [Creazione di un ruolo per delegare le autorizzazioni a un Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente di IAM*.
Le azioni e le risorse IAM richieste dipendono dal tipo di processo di valutazione del modello che stai creando. Utilizza le sezioni seguenti per saperne di più sulle azioni IAM, i principali di servizio e le risorse necessarie per Amazon Bedrock, Amazon SageMaker AI e Amazon S3. Facoltativamente, puoi decidere di crittografare i dati con AWS Key Management Service.
**Topics**
+ [Requisiti del ruolo di servizio per i processi di valutazione del modello](automatic-service-roles.md)
+ [Requisiti del ruolo di servizio per i processi di valutazione umana del modello](model-eval-service-roles.md)
+ [Autorizzazioni necessarie per il ruolo di servizio per la creazione di un processo di valutazione del modello che utilizza un modello arbitro](judge-service-roles.md)
+ [Requisiti del ruolo di servizio per i processi di valutazione della knowledge base](rag-eval-service-roles.md)
# Requisiti del ruolo di servizio per i processi di valutazione del modello
Per creare un processo di valutazione del modello, è necessario specificare un ruolo di servizio. La policy che alleghi concede ad Amazon Bedrock l’accesso alle risorse del tuo account e consente ad Amazon Bedrock di invocare il modello selezionato per tuo conto.
Devi inoltre collegare una policy di attendibilità che definisca Amazon Bedrock come principale del servizio che utilizza `bedrock.amazonaws.com`. Ciascuno dei seguenti esempi di policy mostra le azioni IAM esatte richieste in base a ciascun servizio richiamato in un processo di valutazione del modello automatica.
Per creare un ruolo di servizio personalizzato, consulta [Creazione di un ruolo utilizzando policy di attendibilità personalizzate (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) nella *Guida per l’utente IAM*.
**Operazioni IAM Amazon S3 necessarie**
Il seguente esempio di policy concede l’accesso ai bucket S3 in cui vengono salvati i risultati della valutazione del modello e (facoltativamente) l’accesso a tutti i set di dati dei prompt personalizzati che hai specificato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my_output_bucket",
"arn:aws:s3:::my_output_bucket/myfolder"
]
}
]
}
```
------
**Operazioni IAM Amazon Bedrock necessarie**
È inoltre necessario creare una policy che consenta ad Amazon Bedrock di invocare il modello che intendi specificare nel processo di valutazione del modello automatica. Per ulteriori informazioni sulla gestione dell’accesso ai modelli Amazon Bedrock, consulta [Accesso ai modelli di fondazione Amazon Bedrock](model-access.md). Nella sezione `"Resource"` della policy, devi specificare almeno un ARN di un modello a cui anche tu hai accesso. Per utilizzare un modello crittografato con una chiave CMK KMS, devi aggiungere le azioni e le risorse IAM richieste alla policy del ruolo di servizio IAM. È inoltre necessario aggiungere il ruolo di servizio alla politica AWS KMS chiave.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToBedrockResources",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:ListInferenceProfiles",
"bedrock:GetImportedModel",
"bedrock:GetPromptRouter",
"sagemaker:InvokeEndpoint"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*",
"arn:aws:bedrock:*:111122223333:inference-profile/*",
"arn:aws:bedrock:*:111122223333:provisioned-model/*",
"arn:aws:bedrock:*:111122223333:imported-model/*",
"arn:aws:bedrock:*:111122223333:application-inference-profile/*",
"arn:aws:bedrock:*:111122223333:default-prompt-router/*",
"arn:aws:sagemaker:*:111122223333:endpoint/*",
"arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
]
}
]
}
```
------
**Requisiti principali del servizio**
È inoltre necessario collegare una policy di attendibilità che definisca Amazon Bedrock come principale del servizio. Ciò consente ad Amazon Bedrock di assumere il ruolo. L'ARN del processo di valutazione del modello wildcard (`*`) è necessario per consentire ad Amazon Bedrock di creare lavori di valutazione del modello nel tuo account. AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:evaluation-job/*"
}
}
}]
}
```
------
# Requisiti del ruolo di servizio per i processi di valutazione umana del modello
Per creare un processo di valutazione del modello che utilizza valutatori umani, è necessario specificare un ruolo di servizio.
I seguenti elenchi riepilogano i requisiti delle policy IAM per ogni ruolo di servizio richiesto che deve essere specificato nella console Amazon Bedrock.
**Riepilogo dei requisiti delle policy IAM per il ruolo di servizio Amazon Bedrock**
+ Devi inoltre allegare una policy di attendibilità che definisca Amazon Bedrock come principale del servizio.
+ Devi consentire ad Amazon Bedrock di richiamare i modelli selezionati per tuo conto.
+ Devi consentire ad Amazon Bedrock di accedere al bucket S3 che contiene il tuo set di dati dei prompt e al bucket S3 in cui desideri salvare i risultati.
+ Devi consentire ad Amazon Bedrock di creare le risorse del ciclo umano necessarie nel tuo account.
+ (Consigliato) Utilizza un *blocco* `Condition` per specificare gli account a cui possono accedere.
+ (Facoltativo) Devi consentire ad Amazon Bedrock di decrittare la tua chiave KMS se hai crittografato il bucket del set di dati dei prompt o il bucket Amazon S3 in cui desideri salvare i risultati.
**Riepilogo dei requisiti delle policy IAM per il ruolo del servizio Amazon SageMaker AI**
+ È necessario allegare una politica di fiducia che definisca l' SageMaker IA come principale del servizio.
+ Devi consentire all' SageMaker IA di accedere al bucket S3 che contiene il set di dati prompt e al bucket S3 in cui desideri salvare i risultati.
+ (Facoltativo) Devi consentire all' SageMaker IA di utilizzare le chiavi gestite dai clienti se hai crittografato il bucket del set di dati prompt o la posizione in cui volevi ottenere i risultati.
Per creare un ruolo di servizio personalizzato, consulta [Creazione di un ruolo utilizzando policy di attendibilità personalizzate (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) nella *Guida per l’utente IAM*.
**Operazioni IAM Amazon S3 necessarie**
Il seguente esempio di policy concede l'accesso ai bucket S3 in cui vengono salvati i risultati della valutazione del modello e l'accesso al set di dati dei prompt personalizzato che hai specificato. È necessario collegare questa policy sia al ruolo di servizio SageMaker AI che al ruolo di servizio Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::custom-prompt-dataset"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::model_evaluation_job_output"
]
}
]
}
```
------
**Operazioni IAM Amazon Bedrock necessarie**
Per consentire ad Amazon Bedrock di invocare il modello che intendi specificare nel processo di valutazione del modello automatica, associa al ruolo di servizio Amazon Bedrock la policy indicata di seguito. Nella sezione `"Resource"` della policy, devi specificare almeno un ARN di un modello a cui anche tu hai accesso. Per utilizzare un modello crittografato con una chiave CMK KMS, devi aggiungere le azioni e le risorse IAM richieste al ruolo di servizio IAM. È inoltre necessario aggiungere tutti gli elementi AWS KMS chiave della policy richiesti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToBedrockResources",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:ListInferenceProfiles",
"bedrock:GetImportedModel",
"bedrock:GetPromptRouter",
"sagemaker:InvokeEndpoint"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*",
"arn:aws:bedrock:*:111122223333:inference-profile/*",
"arn:aws:bedrock:*:111122223333:provisioned-model/*",
"arn:aws:bedrock:*:111122223333:imported-model/*",
"arn:aws:bedrock:*:111122223333:application-inference-profile/*",
"arn:aws:bedrock:*:111122223333:default-prompt-router/*",
"arn:aws:sagemaker:*:111122223333:endpoint/*",
"arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
]
}
]
}
```
------
**Operazioni di IA aumentata Amazon necessarie**
Devi inoltre creare una policy che consenta ad Amazon Bedrock di creare risorse relative ai processi di valutazione umana del modello. Poiché Amazon Bedrock crea le risorse necessarie per avviare il processo di valutazione del modello, è necessario utilizzare `"Resource": "*"`. Devi allegare questa policy al ruolo di servizio Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageHumanLoops",
"Effect": "Allow",
"Action": [
"sagemaker:StartHumanLoop",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:StopHumanLoop",
"sagemaker:DeleteHumanLoop"
],
"Resource": "*"
}
]
}
```
------
**Requisiti principali del servizio (Amazon Bedrock)**
È inoltre necessario allegare una policy di attendibilità che definisca Amazon Bedrock come principale del servizio. Ciò consente ad Amazon Bedrock di assumere il ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:evaluation-job/*"
}
}
}
]
}
```
------
**Requisiti principali del servizio (SageMaker AI)**
È inoltre necessario collegare una policy di attendibilità che definisca Amazon Bedrock come principale del servizio. Ciò consente all' SageMaker IA di assumere il ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSageMakerToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Autorizzazioni necessarie per il ruolo di servizio per la creazione di un processo di valutazione del modello che utilizza un modello arbitro
Per creare un processo di valutazione del modello che utilizzi un LLM-as-a-judge, è necessario specificare un ruolo di servizio. La policy che alleghi concede ad Amazon Bedrock l’accesso alle risorse del tuo account e consente ad Amazon Bedrock di invocare il modello selezionato per tuo conto.
La policy di attendibilità definisce Amazon Bedrock come principale del servizio che utilizza `bedrock.amazonaws.com`. Ciascuno dei seguenti esempi di policy mostra le azioni IAM esatte richieste in base a ciascun servizio invocato nel processo di valutazione del modello.
Per creare un ruolo di servizio personalizzato come descritto di seguito, consulta [Creazione di un ruolo che utilizza una policy di attendibilità personalizzata](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) nella *Guida per l’utente IAM*.
## Operazioni IAM Amazon Bedrock necessarie
È necessario creare una policy che consenta ad Amazon Bedrock di invocare i modelli che intendi specificare nel processo di valutazione del modello. Per ulteriori informazioni sulla gestione dell’accesso ai modelli Amazon Bedrock, consulta [Accesso ai modelli di fondazione Amazon Bedrock](model-access.md). Nella sezione `"Resource"` della policy, devi specificare almeno un ARN di un modello a cui anche tu hai accesso. Per utilizzare un modello crittografato con una chiave CMK KMS, devi aggiungere le azioni e le risorse IAM richieste alla policy del ruolo di servizio IAM. È inoltre necessario aggiungere il ruolo di servizio alla politica AWS KMS chiave.
Il ruolo di servizio deve includere l’accesso ad almeno un modello di valutazione supportato. Per un elenco dei modelli del sistema di valutazione supportati, consulta [Modelli supportati](evaluation-judge.md#evaluation-judge-supported).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BedrockModelInvoke",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*",
"arn:aws:bedrock:us-east-1:111122223333:inference-profile/*",
"arn:aws:bedrock:us-east-1:111122223333:provisioned-model/*",
"arn:aws:bedrock:us-east-1:111122223333:imported-model/*"
]
}
]
}
```
------
## Azioni e risorse IAM Amazon S3 obbligatorie
La policy del ruolo di servizio deve includere l’accesso al bucket Amazon S3 in cui desideri salvare l’output dei processi di valutazione del modello e l’accesso al set di dati dei prompt specificato nella richiesta `CreateEvaluationJob` o tramite la console Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FetchAndUpdateOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
}
]
}
```
------
# Requisiti del ruolo di servizio per i processi di valutazione della knowledge base
Per creare un processo di valutazione della knowledge base, è necessario specificare un ruolo di servizio. La policy che si collega al ruolo concede ad Amazon Bedrock l’accesso alle risorse nell’account e consente ad Amazon Bedrock di eseguire le seguenti operazioni:
+ Invocare i modelli selezionati per la generazione dell’output con l’azione API `RetrieveAndGenerate` e valutare gli output della knowledge base.
+ Invocare le azioni API `Retrieve` e `RetrieveAndGenerate` di Knowledge Base per Amazon Bedrock sull’istanza della knowledge base.
Per creare un ruolo di servizio personalizzato, consulta [Creazione di un ruolo utilizzando policy di attendibilità personalizzate](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) nella *Guida per l’utente IAM*.
**Azioni IAM obbligatorie per l’accesso ad Amazon S3**
La seguente policy di esempio concede l’accesso ai bucket S3 in cui si verificano entrambe le seguenti condizioni:
+ I risultati della valutazione della knowledge base vengono salvati.
+ Amazon Bedrock legge il set di dati di input.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket"
],
"Resource":
[
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource":
[
"arn:aws:s3:::my_output_bucket",
"arn:aws:s3:::my_output_bucket/myfolder"
]
}
]
}
```
------
**Operazioni IAM Amazon Bedrock necessarie**
È inoltre necessario creare una policy che consenta ad Amazon Bedrock di effettuare le seguenti operazioni:
1. Invocare i modelli che si intende specificare per quanto segue:
+ Generazione dei risultati con l’azione API `RetrieveAndGenerate`.
+ Valutazione dei risultati.
Per la chiave `Resource` nella policy, devi specificare almeno un ARN di un modello a cui hai accesso. Per utilizzare un modello crittografato con una chiave KMS gestita dal cliente, è necessario aggiungere le azioni e le risorse IAM richieste alla policy del ruolo di servizio IAM. È inoltre necessario aggiungere il ruolo di servizio alla politica AWS KMS chiave.
1. Chiamare le azioni API `Retrieve` e `RetrieveAndGenerate`. Si noti che, nella creazione automatica dei ruoli nella console, concediamo autorizzazioni a entrambe le azioni API `Retrieve` e `RetrieveAndGenerate`, a prescindere dall’azione scelta per valutare tale processo. In questo modo, si garantisce una maggiore flessibilità e riutilizzabilità per tale ruolo. Tuttavia, per maggiore sicurezza, tale ruolo creato automaticamente è collegato a una singola istanza della knowledge base.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificModels",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:GetImportedModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*",
"arn:aws:bedrock:us-east-1:123456789012:inference-profile/*",
"arn:aws:bedrock:us-east-1:123456789012:provisioned-model/*",
"arn:aws:bedrock:us-east-1:123456789012:imported-model/*",
"arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/*"
]
},
{
"Sid": "AllowKnowledgeBaseAPis",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve",
"bedrock:RetrieveAndGenerate"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id"
]
}
]
}
```
------
**Requisiti principali del servizio**
È inoltre necessario collegare una policy di attendibilità che definisca Amazon Bedrock come principale del servizio. Questa policy consente ad Amazon Bedrock di assumere il ruolo. L'ARN del processo di valutazione del modello wildcard (`*`) è necessario per consentire ad Amazon Bedrock di creare lavori di valutazione del modello nel tuo account. AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
}
}
}
]
}
```
------
# Configurare l’accesso a bucket Amazon S3
Diverse funzionalità di Amazon Bedrock richiedono l’accesso ai dati archiviati nei bucket Amazon S3. Per accedere a tali dati, è necessario configurare le seguenti autorizzazioni:
****
| Caso d’uso | Permissions |
| --- | --- |
| Autorizzazioni per recuperare dati dal bucket S3 | s3: GetObjects3: ListBucket |
| Autorizzazioni per scrivere dati nel bucket S3 | s3: PutObject |
| Autorizzazioni per decrittografare la chiave KMS che ha crittografato il bucket S3 | kms:Decryptkms:DescribeKey |
Le identità o le risorse a cui è necessario collegare le autorizzazioni precedenti dipendono dai seguenti fattori:
+ Più funzionalità di Amazon Bedrock utilizzano [ruoli di servizio](security-iam-sr.md). Se una funzionalità utilizza un ruolo di servizio, è necessario configurare le autorizzazioni in modo che il ruolo di servizio, anziché l’identità IAM dell’utente, abbia accesso ai dati S3. Alcune funzionalità di Amazon Bedrock possono creare automaticamente un ruolo di servizio e collegare le [autorizzazioni basate sull’identità](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies.html#policies_id-based) richieste al ruolo di servizio, se si utilizza la Console di gestione AWS.
+ Alcune funzionalità di Amazon Bedrock consentono a un’identità di accedere a un bucket S3 in un account diverso. Se è necessario accedere ai dati S3 da un account diverso, il proprietario del bucket deve includere le [autorizzazioni basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) in una [policy di bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) collegata al bucket S3.
Di seguito viene descritto come determinare dove si devono collegare le autorizzazioni necessarie per accedere ai dati S3:
+ Autorizzazioni per identità IAM
+ Se riesci a creare automaticamente un ruolo di servizio nella console, le autorizzazioni vengono configurate per il ruolo di servizio, quindi non devi configurarle in modo autonomo.
+ Se preferisci utilizzare un ruolo di servizio personalizzato o se l’identità che richiede l’accesso non è un ruolo di servizio, vai alla pagina [Collega le autorizzazioni a un’identità IAM per consentirle l’accesso a un bucket Amazon S3](#s3-bucket-access-identity) per avere informazioni su come creare una policy basata sull’identità con le autorizzazioni appropriate.
+ Autorizzazioni basate su risorse
+ Se l’identità richiede l’accesso ai dati S3 nello stesso account, non è necessario collegare una policy di bucket S3 al bucket contenente i dati.
+ Se l’identità richiede l’accesso ai dati S3 in un account diverso, vai alla pagina [Collegare una policy di bucket a un bucket Amazon S3 per consentire a un altro account di accedervi](#s3-bucket-access-cross-account) per informazioni su come creare una policy di bucket S3 con le autorizzazioni appropriate.
**Importante**
La creazione automatica di un ruolo di servizio in Console di gestione AWS assegna le autorizzazioni appropriate basate sull'identità al ruolo, ma è comunque necessario configurare la policy del bucket S3 se l'identità che richiede l'accesso si trova in un'altra. Account AWS
Per ulteriori informazioni, consulta i collegamenti seguenti:
+ Per ulteriori informazioni sul controllo dell’accesso ai dati in Amazon S3, consulta [Controllo degli accessi in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html).
+ Per ulteriori informazioni sulle autorizzazioni di Amazon S3, consulta [Azioni definite da Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-actions-as-permissions).
+ [Per ulteriori informazioni sulle autorizzazioni, consulta Azioni definite da. AWS KMSAWS Key Management Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions)
Esamina gli argomenti relativi al caso d’uso specifico:
**Topics**
+ [Collega le autorizzazioni a un’identità IAM per consentirle l’accesso a un bucket Amazon S3](#s3-bucket-access-identity)
+ [Collegare una policy di bucket a un bucket Amazon S3 per consentire a un altro account di accedervi](#s3-bucket-access-cross-account)
+ [(Opzione di sicurezza avanzata) Includere le condizioni in una dichiarazione per un accesso più dettagliato](#s3-bucket-access-conditions)
## Collega le autorizzazioni a un’identità IAM per consentirle l’accesso a un bucket Amazon S3
Questo argomento fornisce un modello per una policy da collegare a un’identità IAM. La policy include le seguenti istruzioni che definiscono le autorizzazioni per concedere a un’identità IAM l’accesso a un bucket S3:
1. Autorizzazioni per recuperare dati da un bucket S3. Questa istruzione include anche una condizione che utilizza la [chiave di condizione](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys) `s3:prefix` per limitare l’accesso a una cartella specifica nel bucket. Per ulteriori informazioni su questa condizione, consulta la sezione **Policy utente** nell’[Esempio 2: recupero di un elenco di oggetti in un bucket con un prefisso specifico](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2).
1. (Se si devono scrivere dati in una posizione S3) Autorizzazioni per scrivere dati in un bucket S3. Questa dichiarazione include anche una condizione che utilizza la [chiave `aws:ResourceAccount` condition](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceaccount) per limitare l'accesso alle richieste inviate da una persona specificaAccount AWS.
1. (Se il bucket S3 è crittografato con una chiave KMS) Autorizzazioni per descrivere e decrittografare la chiave KMS che ha crittografato il bucket S3.
**Nota**
Se per il bucket S3 in uso è abilitata la funzione di controllo delle versioni, ogni versione di oggetto caricata utilizzando questa funzionalità può avere la propria chiave di crittografia. L’utente è responsabile del monitoraggio di ciascuna chiave di crittografia utilizzata per ogni determinato oggetto.
Aggiungere, modificare e rimuovere le istruzioni, le risorse e le condizioni nella seguente politica e *\$1\$1values\$1* sostituirle se necessario:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${S3Bucket}",
"arn:aws:s3:::${S3Bucket}/*"
]
},
{
"Sid": "WriteToS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${S3Bucket}",
"arn:aws:s3:::${S3Bucket}/*"
]
},
{
"Sid": "DecryptKMSKey",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${KMSKeyId}"
}
]
}
```
------
Dopo aver modificato la policy in base al caso d’uso specifico, collegala al ruolo di servizio (o all’identità IAM) che richiede l’accesso al bucket S3. Per informazioni su come collegare una policy IAM a un ruolo, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
## Collegare una policy di bucket a un bucket Amazon S3 per consentire a un altro account di accedervi
Questo argomento fornisce un modello per una policy basata sulle risorse da collegare a un bucket S3 per consentire a un’identità IAM di accedere ai dati nel bucket. La policy include le seguenti istruzioni che definiscono le autorizzazioni per concedere a un’identità l’accesso al bucket:
1. Autorizzazioni per recuperare dati da un bucket S3.
1. (Se si devono scrivere dati in una posizione S3) Autorizzazioni per scrivere dati in un bucket S3.
1. (Se il bucket S3 è crittografato con una chiave KMS) Autorizzazioni per descrivere e decrittografare la chiave KMS che ha crittografato il bucket S3.
**Nota**
Se per il bucket S3 in uso è abilitata la funzione di controllo delle versioni, ogni versione di oggetto caricata utilizzando questa funzionalità può avere la propria chiave di crittografia. L’utente è responsabile del monitoraggio di ciascuna chiave di crittografia utilizzata per ogni determinato oggetto.
Le autorizzazioni sono simili a quelle basate sull’identità descritte in [Collega le autorizzazioni a un’identità IAM per consentirle l’accesso a un bucket Amazon S3](#s3-bucket-access-identity). Tuttavia, ogni istruzione richiede anche di specificare l’identità per cui concedere le autorizzazioni alla risorsa presente nel campo `Principal`. Specifica l’identità (con la maggior parte delle funzionalità di Amazon Bedrock, questo è il ruolo di servizio) nel campo `Principal`. Aggiungere, modificare e rimuovere le istruzioni, le risorse e le condizioni nella seguente politica e *\$1\$1values\$1* sostituirle se necessario:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ServiceRole"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${S3Bucket}",
"arn:aws:s3:::${S3Bucket}/*"
]
},
{
"Sid": "WriteToS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ServiceRole"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${S3Bucket}",
"arn:aws:s3:::${S3Bucket}/*"
]
},
{
"Sid": "DecryptKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ServiceRole"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${KMSKeyId}"
}
]
}
```
------
Dopo aver modificato la policy in base al caso d’uso specifico, collegala al bucket S3. Per informazioni su come aggiungere una policy di bucket a un bucket S3, consulta [Aggiunta di una policy di bucket utilizzando la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html).
## (Opzione di sicurezza avanzata) Includere le condizioni in una dichiarazione per un accesso più dettagliato
Per un maggiore controllo sulle identità che possono accedere alle risorse, è possibile includere condizioni in una dichiarazione di policy. La policy in questo argomento fornisce un esempio che utilizza le seguenti chiavi di condizione:
+ `s3:prefix`: chiave di condizione S3 che limita l’accesso a una cartella specifica in un bucket S3. Per ulteriori informazioni su questa chiave di condizione, consulta la sezione **Policy utente** nell’[Esempio 2: recupero di un elenco di oggetti in un bucket con un prefisso specifico](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2).
+ `aws:ResourceAccount`— Una chiave di condizione globale che limita l'accesso alle richieste provenienti da uno specificoAccount AWS.
La seguente politica limita l'accesso in lettura alla *my-folder* cartella nel bucket *amzn-s3-demo-bucket* S3 e limita l'accesso in scrittura per il bucket *amzn-s3-demo-destination-bucket* S3 alle richieste provenienti da utenti con l'ID: Account AWS *111122223333*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition" : {
"StringEquals" : {
"s3:prefix": "my-folder"
}
}
},
{
"Sid": "WriteToS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
}
}
}
]
}
```
------
Per ulteriori informazioni sulle condizioni e sulle chiavi di condizione, consulta i seguenti link:
+ Per informazioni sulle condizioni, consulta [Elementi della policy JSON IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella Guida per l’utente di IAM.
+ Per informazioni sulle chiavi di condizione specifiche per S3, consulta [Chiavi di condizione per Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys) nella Guida di riferimento per l’autorizzazione al servizio.
+ [Per maggiori informazioni sulle chiavi di contesto globali utilizzate in tutte le areeServizi AWS, consulta Global Context Keys. AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceaccount)
# Risoluzione dei problemi relativi all'identità e all'accesso di Amazon Bedrock
Utilizza le informazioni seguenti per eseguire la diagnosi e risolvere i problemi comuni che possono verificarsi durante l'utilizzo di Amazon Bedrock e IAM.
**Topics**
+ [Non dispongo dell'autorizzazione per eseguire un'azione in Amazon Bedrock](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon Bedrock](#security_iam_troubleshoot-cross-account-access)
## Non dispongo dell'autorizzazione per eseguire un'azione in Amazon Bedrock
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `bedrock:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: bedrock:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `bedrock:GetWidget`.
Se hai bisogno di assistenza, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un errore che indica che non disponi dell'autorizzazione per eseguire l'azione `iam:PassRole`, dovrai aggiornare le policy per passare un ruolo ad Amazon Bedrock.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente esempio di errore si verifica quando un utente IAM denominato `marymajor` cerca di utilizzare la console per eseguire un'azione in Amazon Bedrock. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon Bedrock
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon Bedrock supporta queste funzionalità, consulta [Funzionamento di Amazon Bedrock con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM* User Guide.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.