Configurar permissões para um usuário ou perfil para criar e gerenciar bases de conhecimento - Amazon Bedrock

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar permissões para um usuário ou perfil para criar e gerenciar bases de conhecimento

Para que um usuário ou perfil realize ações relacionadas às Bases de Conhecimento do Amazon Bedrock, você deve anexar políticas que concedam permissões para realizá-las. Esta seção descreve as permissões que possibilitam que o usuário recupere informações dessas bases de conhecimento e gere respostas com base nelas.

Expanda as seguintes seções para saber como configurar permissões para casos de uso específicos:

Para permitir que um perfil do IAM crie uma base de conhecimento, conecte-a a um armazenamento de dados estruturados, gerencie a base de conhecimento e inicie e gerencie trabalhos de ingestão da fonte de dados na base de conhecimento, você deve fornecer permissões para as ações KnowledgeBase, DataSource e IngestionJob. Para fornecer permissões para atribuir tags a bases de conhecimento, inclua permissões para bedrock:TagResource e bedrock:UntagResource.

nota

Se o usuário ou a função tiver a política AmazonBedrockFullAccess AWS gerenciada anexada, você poderá ignorar esse pré-requisito.

Para permitir que um perfil execute essas ações, anexe a seguinte política ao perfil:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateKB",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateKnowledgeBase"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KBDataSourceManagement",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:UpdateKnowledgeBase",
                "bedrock:DeleteKnowledgeBase",
                "bedrock:StartIngestionJob",
                "bedrock:GetIngestionJob",
                "bedrock:ListIngestionJobs",
                "bedrock:StopIngestionJob",
                "bedrock:TagResource",
                "bedrock:UntagResource"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
            ]
        }
    ]
}

Depois de criar uma base de conhecimento, recomendamos que você defina o escopo das permissões no KBDataSourceManagement extrato substituindo o caractere curinga (*) pelo ID da base de conhecimento que você criou.

Esta seção descreve as permissões necessárias para realizar as operações de API Retrieve e RetrieveAndGenerate para as bases de conhecimento.

Anexe a seguinte política ao perfil:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GetKB",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetKnowledgeBase"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "Retrieve",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "RetrieveAndGenerate",
            "Effect": "Allow",
            "Action": [
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Você pode remover instruções das quais não precisa, dependendo do caso de uso:

  • A instrução GetKB é usada para obter informações da base de conhecimento.

  • A instrução Retrieve deve chamar Retrieve para recuperar dados do armazenamento de dados estruturados.

  • A instrução RetrieveAndGenerate deve chamar RetrieveAndGenerate para recuperar dados do armazenamento de dados estruturados e gerar respostas baseadas nos dados.

Se você planeja usar RetrieveAndGenerate para gerar respostas com base nos dados recuperados da fonte de dados, solicite acesso aos modelos de base a serem usados na geração seguindo as etapas em Acessar modelos de base do Amazon Bedrock.

Para restringir ainda mais as permissões, você pode omitir ações ou especificar chaves de recurso e de condição que devem ser usadas para filtrar permissões. Para ter mais informações sobre ações, recursos e chaves de condição, consulte os tópicos a seguir na Referência de autorização do serviço.