ナレッジベースを作成および管理するためのユーザーまたはロールのアクセス許可を設定する - Amazon Bedrock

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ナレッジベースを作成および管理するためのユーザーまたはロールのアクセス許可を設定する

Amazon Bedrock ナレッジベースに関連するアクションを実行するユーザーまたはロールには、アクションを実行するアクセス許可を付与するポリシーをアタッチする必要があります。ユーザーがこれらのナレッジベースから情報を取得し、そこからレスポンスを生成できるようにするアクセス許可について説明します。

以下のセクションを展開して、特定のユースケースのアクセス許可を設定する方法について説明します。

IAM ロールがナレッジベースを作成し、構造化データストアに接続し、ナレッジベースを管理し、データソースからナレッジベースへの取り込みジョブを開始および管理できるようにするには、KnowledgeBase、、DataSourceおよび IngestionJobアクションにアクセス許可を付与する必要があります。ナレッジベースにタグを付けるアクセス許可を付与するには、 bedrock:TagResourceおよび へのアクセス許可を含めますbedrock:UntagResource

注記

ユーザーまたはロールに AmazonBedrockFullAccess AWS 管理ポリシーがアタッチされている場合は、この前提条件をスキップできます。

ロールがこれらのアクションを実行できるようにするには、次のポリシーをロールにアタッチします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateKB",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateKnowledgeBase"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KBDataSourceManagement",
            "Effect": "Allow",
            "Action": [  
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:UpdateKnowledgeBase",
                "bedrock:DeleteKnowledgeBase",
                "bedrock:StartIngestionJob",
                "bedrock:GetIngestionJob",
                "bedrock:ListIngestionJobs",
                "bedrock:StopIngestionJob",
                "bedrock:TagResource",
                "bedrock:UntagResource"
            ],
            "Resource": [
                "arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/*"
            ]
        }
    ]   
}

ナレッジベースを作成したら、ワイルドカード (*) KBDataSourceManagement を作成したナレッジベースの ID に置き換えて、 ステートメントのアクセス許可の範囲を絞り込むことをお勧めします。

このセクションでは、ナレッジベースの Retrieveおよび RetrieveAndGenerate API オペレーションを実行するために必要なアクセス許可について説明します。

ロールに次のポリシーをアタッチします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetKB",
            "Effect": "Allow",
            "Action": [  
                "bedrock:GetKnowledgeBase"
            ],
            "Resource": [
                "arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "Retrieve",
            "Effect": "Allow",
            "Action": [  
                "bedrock:Retrieve",
            ]
            "Resource": [
                "arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "RetrieveAndGenerate",
            "Effect": "Allow",
            "Action": [  
                "bedrock:RetrieveAndGenerate",
            ]
            "Resource": [
                "*"
            ]
        }
    ]   
}

ユースケースに応じて、不要なステートメントを削除できます。

  • GetKB ステートメントは、ナレッジベース情報を取得するために使用されます。

  • Retrieve ステートメントは、 を呼び出しRetrieveてデータストアからデータを取得するために必要です。

  • RetrieveAndGenerate ステートメントは、 を呼び出しRetrieveAndGenerateてデータストアからデータを取得し、データに基づいてレスポンスを生成する必要があります。

RetrieveAndGenerate を使用してデータソースから取得したデータに基づいてレスポンスを生成する場合は、「」の手順に従って、生成に使用する基盤モデルへのアクセスをリクエストしますAccess Amazon Bedrock foundation models

アクセス許可をさらに制限するには、アクションを省略するか、アクセス許可をフィルタリングするリソースと条件キーを指定できます。アクション、リソース、および条件キーの詳細については、「サービス認可リファレンス」の以下のトピックを参照してください。