Configurar permissões para um usuário ou função para criar e gerenciar bases de conhecimento

Para que um usuário ou função realize ações relacionadas às Bases de Conhecimento Amazon Bedrock, você deve anexar políticas que concedam permissões para realizar as ações. Ele descreve as permissões que permitem ao usuário recuperar informações dessas bases de conhecimento e gerar respostas a partir delas.

Expanda as seções a seguir para saber como configurar permissões para casos de uso específicos:

Para permitir que uma função do IAM crie uma base de conhecimento, conecte-a a um armazenamento de dados estruturado, gerencie a base de conhecimento e inicie e gerencie trabalhos de ingestão da fonte de dados à base de conhecimento, você deve fornecer permissões para as IngestionJob ações KnowledgeBaseDataSource, e. Para fornecer permissões para marcar bases de conhecimento, inclua permissões para bedrock:TagResource bedrock:UntagResource e.

nota

Se o usuário ou a função tiver a política AmazonBedrockFullAccess AWS gerenciada anexada, você poderá ignorar esse pré-requisito.

Para permitir que uma função execute essas ações, anexe a seguinte política à função:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateKB",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateKnowledgeBase"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KBDataSourceManagement",
            "Effect": "Allow",
            "Action": [  
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:UpdateKnowledgeBase",
                "bedrock:DeleteKnowledgeBase",
                "bedrock:StartIngestionJob",
                "bedrock:GetIngestionJob",
                "bedrock:ListIngestionJobs",
                "bedrock:StopIngestionJob",
                "bedrock:TagResource",
                "bedrock:UntagResource"
            ],
            "Resource": [
                "arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/*"
            ]
        }
    ]   
}

Depois de criar uma base de conhecimento, recomendamos que você defina o escopo das permissões no KBDataSourceManagement extrato substituindo o caractere curinga (*) pelo ID da base de conhecimento que você criou.

Esta seção descreve as permissões necessárias para realizar as operações de RetrieveAndGenerate API Retrieve e as bases de conhecimento.

Anexe a seguinte política à função:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetKB",
            "Effect": "Allow",
            "Action": [  
                "bedrock:GetKnowledgeBase"
            ],
            "Resource": [
                "arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "Retrieve",
            "Effect": "Allow",
            "Action": [  
                "bedrock:Retrieve",
            ]
            "Resource": [
                "arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "RetrieveAndGenerate",
            "Effect": "Allow",
            "Action": [  
                "bedrock:RetrieveAndGenerate",
            ]
            "Resource": [
                "*"
            ]
        }
    ]   
}

Você pode remover declarações desnecessárias, dependendo do seu caso de uso:

A GetKB declaração é usada para obter as informações da base de conhecimento.
A Retrieve declaração é necessária para ligar Retrievepara recuperar dados do seu armazenamento de dados.
A RetrieveAndGenerate declaração deve ser chamada RetrieveAndGeneratepara recuperar dados do seu armazenamento de dados e gerar respostas com base nos dados.

Se você planeja usar RetrieveAndGeneratepara gerar respostas com base nos dados recuperados da sua fonte de dados, solicite acesso aos modelos básicos a serem usados na geração seguindo as etapas emAcessar modelos de base do Amazon Bedrock.

Para restringir ainda mais as permissões, você pode omitir ações ou especificar recursos e chaves de condição para filtrar as permissões. Para obter mais informações sobre ações, recursos e chaves de condição, consulte os tópicos a seguir na Referência de Autorização de Serviço:

Ações definidas pelo Amazon Bedrock — Saiba mais sobre ações, os tipos de recursos para os quais você pode definir o escopo delas no Resource campo e as chaves de condição nas quais você pode filtrar as permissões no Condition campo.
Tipos de recursos definidos pelo Amazon Bedrock — Saiba mais sobre os tipos de recursos no Amazon Bedrock.
Chaves de condição para o Amazon Bedrock — Saiba mais sobre as chaves de condição no Amazon Bedrock.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Conversar com seu documento sem nenhuma configuração

Crie uma base de conhecimento conectando-se a uma fonte de dados