Amazon Bedrock ナレッジベースのサービスロールを作成する

Amazon Bedrock が自動的に作成するロールの代わりに、ナレッジベース用のカスタムロールを使用するには、「AWS サービスにアクセス許可を委任するロールを作成する」の手順に従って IAM ロールを作成し、以下のアクセス許可をアタッチします。独自のセキュリティに必要なアクセス許可のみを含めるようにしてください。

注記

サービスロールを使用する場合、ポリシーを複数のロール間で共有することはできません。

信頼関係
Amazon Bedrock のベースモデルへのアクセス
データを保存するデータソースへのアクセス
(Amazon OpenSearch Service でベクトルデータベースを作成する場合) OpenSearch Service コレクションへのアクセス許可
(Amazon Aurora でベクトルデータベースを作成する場合) Aurora クラスターへのアクセス
(Pinecone または Redis Enterprise Cloud でベクトルデータベースを作成する場合) AWS Secrets Manager で Pinecone または Redis Enterprise Cloud アカウントを認証するためのアクセス許可
(オプション) 以下のリソースを KMS キーで暗号化する場合、キーを復号化するアクセス許可 (「ナレッジベースリソースの暗号化」を参照)。
- ナレッジベース
- ナレッジベースのデータソース
- Amazon OpenSearch Service のベクトルデータベース
- AWS Secrets Manager にあるサードパーティのベクトルデータベースのシークレット
- データインジェストジョブ

トピック

信頼関係
Amazon Bedrock モデルにアクセスするためのアクセス許可
データソースにアクセスするためのアクセス許可
ドキュメントでチャットするためのアクセス許可
Amazon Kendra GenAI Index へのアクセス許可
Amazon OpenSearch Serverless 内のベクトルデータベースにアクセスするためのアクセス許可
OpenSearch マネージドクラスターでベクトルデータベースにアクセスするためのアクセス許可
Amazon Aurora データベースクラスターにアクセスするためのアクセス許可
Amazon Neptune Analytics でベクトルデータベースにアクセスするためのアクセス許可
Amazon S3 Vectors でベクトルストアにアクセスするためのアクセス許可
AWS Secrets Manager シークレットが設定されたベクトルデータベースにアクセスするアクセス許可
AWS がデータインジェスト時の一時的なデータストレージ用の AWS KMS キーを管理できるようにするためのアクセス許可
別のユーザーの AWS アカウントからデータソースを管理するための AWS のアクセス許可

信頼関係

以下のポリシーにより、Amazon Bedrock がこのロールを引き受け、ナレッジベースを作成および管理することができます。使用するポリシーの例を下記に示します。1 つ以上のグローバル条件コンテキストキーを使用して、アクセス許可の範囲を制限できます。詳細については、「AWS グローバル条件コンテキストキー」を参照してください。aws:SourceAccount の値をアカウント ID に設定します。ArnEquals または ArnLike 条件を使用して、範囲を特定のナレッジベースに制限します。

注記

セキュリティ上のベストプラクティスとして、* は特定のナレッジベース ID に置き換えてください (作成後)。

Amazon Bedrock モデルにアクセスするためのアクセス許可

ロールがソースデータの組み込みに Amazon Bedrock モデルを使用するためのアクセス許可を提供するには、以下のポリシーをアタッチします。

データソースにアクセスするためのアクセス許可

次のデータソースの中から選択して、ロールに必要なアクセス許可をアタッチしてください。

トピック

Amazon S3 データソースにアクセスするためのアクセス許可
Confluence データソースにアクセスするためのアクセス許可
Microsoft SharePoint データソースにアクセスするためのアクセス許可
Salesforce データソースにアクセスするためのアクセス許可

Amazon S3 データソースにアクセスするためのアクセス許可

データソースが Amazon S3 の場合は、次のポリシーをアタッチして、データソースとして接続する S3 バケットにアクセスするためのアクセス許可をロールに付与します。

データソースを AWS KMS キーで暗号化した場合は、「Amazon S3 のデータソースの AWS KMS キーを復号化するアクセス許可」の手順に従って、キーを復号するアクセス許可をロールにアタッチします。

Confluence データソースにアクセスするためのアクセス許可

注記

Confluence データソースコネクタはプレビューリリースの段階であり、変更される可能性があります。

以下のポリシーをアタッチして、ロールが Confluence にアクセスするためのアクセス許可を付与します。

注記

secretsmanager:PutSecretValue は、OAuth 2.0 認証で更新トークンを使用する場合にのみ必要です。

Confluence OAuth2.0 のアクセストークンの有効期限は、デフォルトでは 60 分です。データソースの同期 (同期ジョブ) 中にアクセストークンの有効期限が切れた場合、Amazon Bedrock は、指定された更新トークンを使用してアクセストークンを再生成します。その際は、アクセストークンと更新トークンの両方が更新されます。現在の同期ジョブから次の同期ジョブまでトークンを最新の状態で維持するために、Amazon Bedrock にはシークレット認証情報の書き込み/保存のアクセス許可が必要です。

Microsoft SharePoint データソースにアクセスするためのアクセス許可

注記

SharePoint データソースコネクタはプレビューリリースの段階であり、変更される可能性があります。

以下のポリシーをアタッチして、ロールが SharePoint にアクセスするためのアクセス許可を付与します。

Salesforce データソースにアクセスするためのアクセス許可

注記

Salesforce データソースコネクタはプレビューリリースの段階であり、変更される可能性があります。

以下のポリシーをアタッチして、ロールが Salesforce にアクセスするためのアクセス許可を付与します。

ドキュメントでチャットするためのアクセス許可

以下のポリシーをアタッチして、ロールが Amazon Bedrock モデルを使用してドキュメントでチャットするためのアクセス許可を付与します。

ユーザーにドキュメントでチャットするためのアクセス権のみを付与する場合は (すべてのナレッジベースでの RetrieveAndGenerate の権限は与えない)、以下のポリシーを使用します。

ドキュメントチャットと、特定のナレッジベースでの RetrieveAndGenerate の使用を両方とも認める場合は、${KnowledgeBaseArn} を指定して、以下のポリシーを使用します。

Amazon Kendra GenAI Index へのアクセス許可

ナレッジベース用の Amazon Kendra GenAI Index を作成した場合は、以下のポリシーを Amazon Bedrock ナレッジベースのサービスロールにアタッチして、インデックスへのアクセスを許可します。ポリシーで、${Partition}、${Region}、${AccountId}、${IndexId} をインデックスの値に置き換えます。複数のインデックスへのアクセスを許可するには、それらを Resource リストに追加します。AWS アカウント内のすべてのインデックスへのアクセスを許可するには、${IndexId} をワイルドカード (*) に置き換えます。

Amazon OpenSearch Serverless 内のベクトルデータベースにアクセスするためのアクセス許可

OpenSearch Serverless でナレッジベース用のベクトルデータベースを作成した場合は、以下のポリシーを Amazon Bedrock ナレッジベースのサービスロールにアタッチして、コレクションへのアクセスを許可します。${Region} と ${AccountId} を、データベースが属するリージョンとアカウント ID に置き換えます。${CollectionId} には、Amazon OpenSearch Service のコレクションの ID を入力します。複数のコレクションへのアクセスを許可するには、それらを Resource リストに追加します。

OpenSearch マネージドクラスターでベクトルデータベースにアクセスするためのアクセス許可

OpenSearch マネージドクラスターでナレッジベース用のベクトルデータベースを作成した場合は、以下のポリシーを Amazon Bedrock ナレッジベースのサービスロールにアタッチして、ドメインへのアクセスを許可します。<region> と <accountId> を、データベースが属するリージョンとアカウント ID に置き換えます。複数のドメインへのアクセスを許可するには、それらを Resource リストに追加します。アクセス許可の設定については、「Amazon Bedrock ナレッジベースで OpenSearch マネージドクラスターを使用するために必要な前提条件とアクセス許可」を参照してください。

Amazon Aurora データベースクラスターにアクセスするためのアクセス許可

注記

Amazon Aurora クラスターは、Amazon Bedrock のナレッジベースが作成されるクラスターと同じ AWS アカウントに存在する必要があります。

Amazon Aurora でナレッジベース用のデータベース (DB) クラスターを作成した場合は、以下のポリシーを Amazon Bedrock ナレッジベースのサービスロールにアタッチして、DB クラスターへのアクセスを許可し、DB クラスターに対する読み取り/書き込みアクセス許可を提供します。${Region} と ${AccountId} を、DB クラスターが属するリージョンとアカウント ID に置き換えます。Amazon Aurora データベースクラスターの ID を ${DbClusterId} に入力します。複数の DB クラスターへのアクセスを許可するには、それらを Resource リストに追加します。

Amazon Neptune Analytics でベクトルデータベースにアクセスするためのアクセス許可

ナレッジベース用の Amazon Neptune Analytics グラフを作成した場合は、以下のポリシーを Amazon Bedrock ナレッジベースのサービスロールにアタッチして、グラフへのアクセスを許可します。ポリシーで、${Region} と ${AccountId} を、データベースが属するリージョンとアカウント ID に置き換えます。${GraphId} をグラフデータベースの値に置き換えます。

Amazon S3 Vectors でベクトルストアにアクセスするためのアクセス許可

ナレッジベース用の Amazon S3 Vectors を作成した場合は、以下のポリシーを Amazon Bedrock ナレッジベースのサービスロールにアタッチして、ベクトルインデックスへのアクセスを許可します。

重要

Amazon S3 Vectors と Amazon Bedrock ナレッジベースの統合はプレビューリリース段階であり、変更される可能性があります。

ポリシーで、${Region} と ${AccountId} をベクトルインデックスが属するリージョンとアカウント ID に置き換えます。${BucketName} を S3 ベクトルバケットの名前に置き換え、${IndexName} をベクトルインデックスの名前に置き換えます。Amazon S3 ベクトルの詳細については、Amazon S3 Vectors を設定して使用する」を参照してください。

AWS Secrets Manager シークレットが設定されたベクトルデータベースにアクセスするアクセス許可

ベクトルデータベースに AWS Secrets Manager シークレットが設定されている場合は、以下のポリシーを Amazon Bedrock ナレッジベースのサービスロールにアタッチして、アカウントが AWS Secrets Manager によって認証され、データベースにアクセスできるようにします。${Region} と ${AccountId} を、データベースが属するリージョンとアカウント ID に置き換えます。${SecretId} をシークレットの ID に置き換えます。

これらのシークレットを AWS KMS キーで暗号化した場合は、ナレッジベースが格納されているベクトルストアの AWS Secrets Manager シークレットを復号するアクセス許可。の手順に従ってキーを復号化するアクセス許可をロールにアタッチします。

AWS がデータインジェスト時の一時的なデータストレージ用の AWS KMS キーを管理できるようにするためのアクセス許可

データソースの取り込み中の一時的なデータストレージ用の AWS KMS キーを作成できるようにするには、以下のポリシーを Amazon Bedrock ナレッジベースのサービスロールにアタッチします。${Region}、${AccountId}、${KeyId} を適切な値に置き換えます。

別のユーザーの AWS アカウントからデータソースを管理するための AWS のアクセス許可

別のユーザーの AWS アカウントへのアクセスを許可するには、別のユーザーのアカウントで Amazon S3 バケットへのクロスアカウントアクセスを許可するロールを作成する必要があります。${BucketName}、${BucketOwnerAccountId}、${BucketNameAndPrefix} を適切な値に置き換えます。

ナレッジベースロールに必要なアクセス許可

ナレッジベースの作成時 (createKnowledgeBase) に指定するナレッジベースロールには、次の Amazon S3 アクセス許可が必要です。

Amazon S3 バケットが AWS KMS キーを使用して暗号化されている場合は、ナレッジベースロールに以下も追加する必要があります。${BucketOwnerAccountId} と ${Region} を適切な値に置き換えます。


{
        "Sid": "KmsDecryptStatement",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": [
            "arn:aws:kms:${Region}:${BucketOwnerAccountId}:key/${KeyId}"
        ],
        "Condition": {
        "StringEquals": {
            "kms:ViaService": [
                "s3.${Region}.amazonaws.com"
            ]
        }
        }
    }

クロスアカウントの Amazon S3 バケットポリシーに必要なアクセス許可

他のアカウントのバケットに、次の Amazon S3 バケットポリシーが必要です。${KbRoleArn}、${BucketName}、${BucketNameAndPrefix} を適切な値に置き換えます。

クロスアカウント AWS KMS キーポリシーに必要なアクセス許可

クロスアカウントの Amazon S3 バケットがそのアカウントで AWS KMS キーを使用して暗号化されている場合、AWS KMS キーのポリシーには次のポリシーが必要です。${KbRoleArn} と ${KmsKeyArn} を適切な値に置き換えます。


{
    "Sid": "Example policy",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "${KbRoleArn}"
        ]
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "${KmsKeyArn}"
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

エージェントサービスロール

Amazon Bedrock Flows のサービスロール