Permissões para reclassificação no Amazon Bedrock - Amazon Bedrock

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões para reclassificação no Amazon Bedrock

Um usuário precisa das seguintes permissões para usar a reclassificação:

  • Acesso aos modelos de reclassificação que eles planejam usar. Para obter mais informações, consulte Acessar modelos de base do Amazon Bedrock.

  • Permissões para o respectivo perfil e, se planejarem usar a reclassificação em um fluxo de trabalho Retrieve, permissões para o perfil de serviço das Bases de Conhecimento do Amazon Bedrock que tem uma relação de confiança com o respectivo perfil.

    dica

    Para configurar as permissões necessárias rapidamente, você pode fazer o seguinte:

    Importante

    Ao usar a reclassificação em um fluxo de trabalho Retrieve com um perfil de serviço das Bases de Conhecimento do Amazon Bedrock, observe o seguinte:

    • Se você editar manualmente a política AWS Identity and Access Management (IAM) que o Amazon Bedrock criou para sua função de serviço da base de conhecimento, poderá encontrar erros ao tentar atualizar as permissões noConsole de gerenciamento da AWS. Para resolver esse problema, no console do IAM, exclua a versão da política que você criou manualmente. Em seguida, atualize a página do reclassificador no console do Amazon Bedrock e tente novamente.

    • Se você usa um perfil personalizado, o Amazon Bedrock não pode atualizar o perfil de serviço da base de conhecimento em seu nome. Verifique se as permissões estão configuradas corretamente para o perfil de serviço.

    Para ver um resumo dos casos de uso e das permissões necessárias para eles, consulte a seguinte tabela:

    Caso de uso Permissões de usuário necessárias Permissões de perfil de serviço necessárias das Bases de Conhecimento do Amazon Bedrock
    Usar reclassificação de forma independente

    • bedrock:Rerank

    • alicerce: InvokeModel com escopo opcional para os modelos de classificação

    		 N/D
    Usar a reclassificação em um fluxo de trabalho Retrieve

    • bedrock:Retrieve

    • bedrock:Rerank

    • alicerce: InvokeModel com escopo opcional para os modelos de classificação
    Usar a reclassificação em um fluxo de trabalho RetrieveAndGenerate

    • alicerce: RetrieveAndGenerate

    • bedrock:Rerank

    • alicerce:InvokeModel, opcionalmente definido para os modelos de reclassificação e para os modelos a serem usados para gerar respostas.

    		 N/D

Para ver exemplos de política de permissões que você pode anexar a um perfil do IAM, expanda a seção que corresponde ao caso de uso:

Para usar a Rerank diretamente com uma lista de fontes, o perfil do usuário precisa de permissões para usar as ações bedrock:Rerank ebedrock:InvokeModel. Da mesma forma, para evitar o uso de um modelo de reclassificação, você deve negar permissões para ambas as ações. Para permitir que o perfil de usuário use um modelo de reclassificação de forma independente, você poderá anexar a seguinte política ao perfil:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/model-id"
            ]
        }
    ]
}

Na política anterior, para a ação bedrock:InvokeModel, você define o escopo das permissões para os modelos que deseja permitir que o perfil use para reclassificação. Para permitir o acesso a todos os modelos, use um curinga (*) no Resource campo.

Para usar a reclassificação ao recuperar dados de uma base de conhecimento, é necessário configurar as seguintes permissões:

Para o perfil de usuário

O perfil de usuário precisa de permissões para usar a ação bedrock:Retrieve. Para permitir que o perfil de usuário recupere dados de uma base de conhecimento, você pode anexar a seguinte política ao perfil:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
            ]
        }
    ]
}

Na política anterior, para a ação bedrock:Retrieve, você define o escopo das permissões para as bases de conhecimento das quais deseja permitir que o perfil recupere informações. Para permitir o acesso a todas as bases de conhecimento, você pode usar um curinga (*) no Resource campo.

Para o perfil de serviço

O perfil de serviço das Bases de Conhecimento do Amazon Bedrock que o usuário usa precisa de permissões para usar as ações bedrock:Rerank e bedrock:InvokeModel. Você pode usar o console do Amazon Bedrock para configurar automaticamente as permissões para seu perfil de serviço ao escolher um modelo de reclassificação e configurar a recuperação da base de conhecimento. Do contrário, para permitir que o perfil de serviço reclassifique as fontes durante a recuperação, você poderá anexar a seguinte política:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId"
        }
    ]
}

Na política anterior, para a ação bedrock:InvokeModel, você define o escopo das permissões para os modelos que deseja permitir que o perfil use para reclassificação. Para permitir o acesso a todos os modelos, você pode usar um caractere curinga (*) no campo Resource.

Para usar um modelo reclassificador ao recuperar dados de uma base de conhecimento e, posteriormente, gerar respostas com base nos resultados recuperados, o perfil de usuário precisa de permissões para usar as ações bedrock:RetrieveAndGenerate, bedrock:Rerank e bedrock:InvokeModel. Para permitir a reclassificação das fontes durante a recuperação e a geração de respostas com base nos resultados, você pode anexar a seguinte política ao perfil de usuário:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankRetrieveAndGenerateSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/GenerationModelId}"
            ]
        }
    ]
}

Na política anterior, para a operação bedrock:InvokeModel, você define o escopo das permissões para os modelos que deseja permitir que o perfil use para reclassificação e para os modelos que você deseja permitir que o perfil use para gerar respostas. Para permitir o acesso a todos os modelos, você pode usar um curinga (*) no Resource campo.

Para restringir ainda mais as permissões, você pode omitir ações ou especificar chaves de recurso e de condição que devem ser usadas para filtrar permissões. Para ter mais informações sobre ações, recursos e chaves de condição, consulte os tópicos a seguir na Referência de autorização do serviço.