Relação de confiança Permissões baseadas em identidade para o perfil de serviço de agentes (Opcional) Política baseada em identidade para permitir que o Amazon Bedrock use o throughput provisionado com o alias do agente (Opcional) Política baseada em identidade para permitir que o Amazon Bedrock associe e invoque agentes colaboradores (Opcional) Política baseada em identidade para permitir que o Amazon Bedrock use barreiras de proteção com o agente (Opcional) Política baseada em identidade para permitir que o Amazon Bedrock acesse arquivos do S3 para uso com a interpretação de código Política baseada em recurso para permitir que o Amazon Bedrock invoque uma função do Lambda do grupo de ação

Criar um perfil de serviço para o Amazon Bedrock Agents

Para usar uma função de serviço personalizada para agentes em vez da que o Amazon Bedrock cria automaticamente, crie uma função do IAM e anexe as seguintes permissões seguindo as etapas em Criar uma função para delegar permissões a um AWS serviço.

Política de confiança
Uma política que contém as seguintes permissões baseadas em identidade:
- Acesso aos modelos de base do Amazon Bedrock.
- Acesso aos objetos do Amazon S3 que contêm os esquemas OpenAPI para os grupos de ação em agentes.
- Permissões para o Amazon Bedrock consultar bases de conhecimento que você deseja anexar aos agentes.
- Se alguma das seguintes situações se referir ao caso de uso, adicione a declaração à política ou adicione uma política com a instrução ao perfil de serviço:
  - (Opcional) Se você habilitar a colaboração entre vários agentes, permissões para obter os aliases e invocar colaboradores do agente.
  - (Opcional) Se você associar um throughput provisionado ao alias do agente, permissões para executar a invocação do modelo usando esse throughput provisionado.
  - (Opcional) Se você associar uma barreira de proteção ao agente, permissões para aplicar essa barreira de proteção. Se a barreira de proteção for criptografada com uma chave do KMS, o perfil de serviço também precisará de permissões para descriptografar a chave
  - (Opcional) Se você criptografar o agente com uma chave do KMS, permissões para descriptografar a chave.

Quer você use um perfil personalizado ou não, também precisará anexar a política baseada em recurso às funções do Lambda dos grupos de ação nos agentes a fim de fornecer permissões para que o perfil de serviço acesse as funções. Para obter mais informações, consulte Política baseada em recurso para permitir que o Amazon Bedrock invoque uma função do Lambda do grupo de ação.

Tópicos

Relação de confiança
Permissões baseadas em identidade para o perfil de serviço de agentes
(Opcional) Política baseada em identidade para permitir que o Amazon Bedrock use o throughput provisionado com o alias do agente
(Opcional) Política baseada em identidade para permitir que o Amazon Bedrock associe e invoque agentes colaboradores
(Opcional) Política baseada em identidade para permitir que o Amazon Bedrock use barreiras de proteção com o agente
(Opcional) Política baseada em identidade para permitir que o Amazon Bedrock acesse arquivos do S3 para uso com a interpretação de código
Política baseada em recurso para permitir que o Amazon Bedrock invoque uma função do Lambda do grupo de ação

Relação de confiança

A política a seguir permite que o Amazon Bedrock assuma esse perfil e crie e gerencie agentes. Substitua o ${values} conforme necessário. A política contém chaves de condição opcionais (consulte Chaves de condição do Amazon Bedrock e Chaves de contexto de condição globais da AWS) no campo Condition que devem ser usadas como uma prática recomendada de segurança.

nota

Como prática recomendada para fins de segurança, * substitua o por um agente específico IDs depois de criá-lo.

Permissões baseadas em identidade para o perfil de serviço de agentes

Anexe a política a seguir para fornecer permissões para a função de serviço, substituindo-a ${values} conforme necessário. A política contém as declarações a seguir. Omita uma declaração quando não for aplicável ao caso de uso. A política contém chaves de condição opcionais (consulte Chaves de condição do Amazon Bedrock e Chaves de contexto de condição globais da AWS) no campo Condition que devem ser usadas como uma prática recomendada de segurança.

nota

Se você criptografar o agente com uma chave do KMS gerenciada pelo cliente, consulte Criptografia de recursos de agentes para agentes criados antes de 22 de janeiro de 2025 para obter mais permissões que precisam ser adicionadas.

Permissões para usar os modelos de base do Amazon Bedrock para executar inferência de modelos nos prompts usados na orquestração do agente.
Permissões para acessar os esquemas da API do grupo de ação do agente no Amazon S3. Omita essa declaração se o agente não tiver grupos de ação.
Permissões para acessar as bases de conhecimento associadas ao agente. Omita essa declaração se o agente não tiver bases de conhecimento associadas.
Permissões para acessar uma base de conhecimento de terceiros (Pinecone ou Redis Enterprise Cloud) associada ao agente. Omita essa declaração se sua base de conhecimento for própria (Amazon OpenSearch Serverless ou Amazon Aurora) ou se seu agente não tiver bases de conhecimento associadas.
Permissões para acessar um prompt do gerenciamento de prompts. Omita essa declaração se você não planeja testar uma solicitação do gerenciamento de solicitações com seu agente no console Amazon Bedrock.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AgentModelInvocationPermissions",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-v2",
                "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-v2:1",
                "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-instant-v1"
            ]
        },
        {
            "Sid": "AgentActionGroupS3",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket/path/to/schema"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${account-id}"
                }
            }
        },
        {
            "Sid": "AgentKnowledgeBaseQuery",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:knowledge-base/knowledge-base-id"
            ]
        },
        {
            "Sid": "Agent3PKnowledgeBase",
            "Effect": "Allow",
            "Action": [
                "bedrock:AssociateThirdPartyKnowledgeBase",
            ],
            "Resource": "arn:aws:bedrock:${region}:${account-id}:knowledge-base/knowledge-base-id",
            "Condition": { 
                "StringEquals" : { 
                    "bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:kms:${region}:${account-id}:key/${key-id}"
                }
            }
        },
        {
            "Sid": "AgentPromptManagementConsole",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetPrompt",
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:prompt/prompt-id"
            ]
        },
    ]
}

(Opcional) Política baseada em identidade para permitir que o Amazon Bedrock use o throughput provisionado com o alias do agente

Se você associar um throughput provisionado a um alias do agente, anexe a política baseada em identidade a seguir ao perfil de serviço ou adicione a declaração à política em Permissões baseadas em identidade para o perfil de serviço de agentes.

(Opcional) Política baseada em identidade para permitir que o Amazon Bedrock associe e invoque agentes colaboradores

Se você habilitar a colaboração entre vários agentes, anexe a seguinte política baseada em identidade à função de serviço ou adicione a declaração à política em. Permissões baseadas em identidade para o perfil de serviço de agentes

(Opcional) Política baseada em identidade para permitir que o Amazon Bedrock use barreiras de proteção com o agente

Se você associar uma barreira de proteção ao agente, anexe a política baseada em identidade a seguir ao perfil de serviço ou adicione a declaração à política em Permissões baseadas em identidade para o perfil de serviço de agentes.

(Opcional) Política baseada em identidade para permitir que o Amazon Bedrock acesse arquivos do S3 para uso com a interpretação de código

Se você habilitar Habilitar a interpretação de código no Amazon Bedrock, anexe a política baseada em identidade a seguir ao perfil de serviço ou adicione a declaração à política em Permissões baseadas em identidade do perfil de serviço de agentes.

Política baseada em recurso para permitir que o Amazon Bedrock invoque uma função do Lambda do grupo de ação

Siga as etapas em Usando políticas baseadas em recursos para o Lambda e anexe a seguinte política baseada em recursos a uma função do Lambda para permitir que o Amazon Bedrock acesse a função Lambda para os grupos de ação do seu agente, substituindo-a conforme necessário. ${values} A política contém chaves de condição opcionais (consulte Chaves de condição do Amazon Bedrock e Chaves de contexto de condição globais da AWS) no campo Condition que devem ser usadas como uma prática recomendada de segurança.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Perfil de serviço de importação de modelos

Perfil de serviço da base de conhecimento