As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos de políticas baseadas em identidade do Amazon Bedrock Agents
Selecione um tópico para ver exemplos de políticas do IAM que você pode anexar a um perfil do IAM para provisionar permissões para ações em Automatizar tarefas em sua aplicação usando agentes de IA.
Tópicos
Permissões necessárias para o Amazon Bedrock Agents
Para que uma identidade do IAM use o Amazon Bedrock Agents, configure-a com as permissões necessárias. Você pode anexar a AmazonBedrockFullAccesspolítica para conceder as permissões adequadas à função.
Para restringir as permissões somente às ações usadas no Amazon Bedrock Agents, anexe a seguinte política baseada em identidade a um perfil do IAM:
É possível restringir ainda mais as permissões omitindo ações ou especificando recursos e chaves de condição. Uma identidade do IAM pode chamar operações de API em recursos específicos. Por exemplo, a operação UpdateAgent só pode ser usada em recursos de agente, e a ação InvokeAgent só pode ser usada em recursos de alias. Para operações de API que não são usadas em um tipo de recurso específico (como CreateAgent), especifique * como o Resource. Se você especificar uma operação de API que não pode ser usada no recurso especificado na política, o Amazon Bedrock retornará um erro.
Permitir que os usuários visualizem informações e invoquem um agente
Veja a seguir um exemplo de política que você pode anexar a uma função do IAM para permitir que ela visualize informações sobre ou edite um agente com o ID AGENT12345 e interaja com seu alias com o IDALIAS12345. Por exemplo, você pode anexar essa política a um perfil que deseja ter apenas permissões para solucionar problemas com um agente e atualizá-lo.
Controle o acesso aos níveis de serviço
Os níveis de serviço do Amazon Bedrock oferecem diferentes níveis de prioridade de processamento e preços para solicitações de inferência. Por padrão, todos os níveis de serviço (prioritário, padrão e flexível) estão disponíveis para usuários com as permissões adequadas do Bedrock, seguindo uma abordagem de lista de permissões em que o acesso é concedido, a menos que seja explicitamente restrito.
No entanto, as organizações podem querer controlar quais níveis de serviço seus usuários podem acessar para gerenciar custos ou aplicar políticas de uso. Você pode implementar restrições de acesso usando políticas do IAM com a chave de bedrock:ServiceTier condição para negar acesso a níveis de serviço específicos. Essa abordagem permite que você mantenha um controle granular sobre quais membros da equipe podem usar níveis de serviço premium, como “prioridade”, ou níveis de custo otimizado, como “flexível”.
O exemplo a seguir mostra uma política baseada em identidade que nega acesso a todos os níveis de serviço. Esse tipo de política é útil quando você deseja impedir que os usuários especifiquem qualquer nível de serviço, forçando-os a usar o comportamento padrão do sistema:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "bedrock:InvokeModel", "Resource": "*", "Condition": { "StringEquals": { "bedrock:ServiceTier": ["reserved", "priority", "default", "flex"] } } } ] }
Você pode personalizar essa política para negar acesso somente a níveis de serviço específicos modificando os valores das bedrock:ServiceTier condições. Por exemplo, para negar somente o nível premium de “prioridade” e permitir “padrão” e “flexível”, você especificaria somente ["priority"] na condição. Essa abordagem flexível permite que você implemente políticas de uso alinhadas aos requisitos operacionais e de gerenciamento de custos da sua organização. Para obter mais informações sobre níveis de serviço, consulteNíveis de serviço para otimizar o desempenho e o custo.
