本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon Bedrock 中為 Amazon Bedrock 流程建立服務角色
若要在 Amazon Bedrock 中建立和管理流程,您必須使用具有此頁面所概述必要許可的服務角色。您可以使用 Amazon Bedrock 在主控台中自動為您建立的服務角色,或使用您自己自訂的服務角色。
注意
如果您使用 Amazon Bedrock 在主控台中自動為您建立的服務角色,當您將節點新增至流程並儲存流程時,它會動態連接許可。不過,如果您移除節點,則不會刪除許可,因此您必須刪除不再需要的許可。若要管理為您建立之角色的許可,請遵循《IAM 使用者指南》中的修改角色的步驟。
若要為 Amazon Bedrock Flows 建立自訂服務角色,請依照建立角色以將許可委派給 AWS 服務中的步驟來建立 IAM 角色。然後將下列許可連接至角色。
-
信任政策
-
下列身分型許可:
-
存取流程將使用的 Amazon Bedrock 基礎模型。將流程中使用的每個模型新增至
Resource清單。 -
如果您使用佈建輸送量叫用模型,則存取和叫用佈建模型的許可。將流程中使用的每個模型新增至
Resource清單。 -
如果您調用自訂模型,則存取和調用自訂模型的許可。將流程中使用的每個模型新增至
Resource清單。 -
根據您新增至流程之節點的許可:
-
如果您包含使用提示管理提示的提示節點,則需要存取提示的許可。將流程中使用的每個提示新增至
Resource清單。 -
如果您包含知識庫節點,則需要查詢知識庫的許可。將流程中查詢的每個知識庫新增至
Resource清單。 -
如果您包含代理程式節點,則需要叫用代理程式別名的許可。將流程中叫用的每個客服人員新增至
Resource清單。 -
如果您包含 S3 擷取節點,則需要存取要從中擷取資料的 Amazon S3 儲存貯體的許可。將要從中擷取資料的每個儲存貯體新增至
Resource清單。 -
如果您包含 S3 儲存節點,您需要許可才能寫入要儲存輸出資料的 Amazon S3 儲存貯體。新增將資料寫入
Resource清單的每個儲存貯體。 -
如果您包含知識庫節點或提示節點的護欄,則需要在流程中套用護欄的許可。將流程中使用的每個護欄新增至
Resource清單。 -
如果您包含 Lambda 節點,則需要叫用 Lambda 函數的許可。新增每個需要調用到
Resource清單的 Lambda 函數。 -
如果您包含 Amazon Lex 節點,則需要使用 Amazon Lex 機器人的許可。新增每個需要用於
Resource清單的機器人別名。 -
如果您加密流程中叫用的任何資源,則需要解密金鑰的許可。將每個金鑰新增至
Resource清單。
-
-
-
如果您加密流程,您也需要將金鑰政策連接至用來加密流程的 KMS 金鑰。
注意
最近實作了下列變更:
-
先前,使用 Amazon Bedrock 服務主體叫用 AWS Lambda 和 Amazon Lex 資源。 Amazon Lex 對於在 2024-11-22 之後建立的流程,此行為正在變更,Amazon Bedrock Flows 服務角色將用於叫用 AWS Lambda 和 Amazon Lex 資源。如果您在 2024-11-22 之前建立任何使用其中一個資源的流程,您應該使用 AWS Lambda 和 Amazon Lex 許可來更新 Amazon Bedrock Flows 服務角色。
-
先前,提示管理資源是使用
bedrock:GetPrompt動作轉譯的。對於在 2024-11-22 之後建立的流程,此行為正在變更,而bedrock:RenderPrompt動作將用於轉譯提示資源。如果您在 2024-11-22 之前建立任何使用提示資源的流程,您應該使用bedrock:RenderPrompt許可更新 Amazon Bedrock Flows 服務角色。
如果您使用 Amazon Bedrock 在主控台中自動為您建立的服務角色,Amazon Bedrock 會在您儲存流程時動態附加修正的許可。
信任關係
將下列信任政策連接至流程執行角色,以允許 Amazon Bedrock 擔任此角色和管理流程。視需要取代這些值。政策包含 Condition 欄位中的選用條件金鑰 (請參閱 Amazon Bedrock 的條件金鑰和AWS 全域條件內容金鑰),建議您將其用作安全最佳實務。
注意
最佳實務是,在建立 * 之後,將 * 取代為流程 ID。
流程服務角色的身分型許可。
連接下列政策以提供服務角色的許可,並視需要取代值。政策包含下列陳述式。如果陳述式不適用於您的使用案例,請省略該陳述式。政策包含 Condition 欄位中的選用條件金鑰 (請參閱 Amazon Bedrock 的條件金鑰和AWS 全域條件內容金鑰),建議您將其用作安全最佳實務。
-
存取流程將使用的 Amazon Bedrock 基礎模型。將流程中使用的每個模型新增至
Resource清單。 -
如果您使用佈建輸送量叫用模型,則存取和叫用佈建模型的許可。將流程中使用的每個模型新增至
Resource清單。 -
如果您調用自訂模型,則存取和調用自訂模型的許可。將流程中使用的每個模型新增至
Resource清單。 -
根據您新增至流程之節點的許可:
-
如果您包含使用提示管理提示的提示節點,則需要存取提示的許可。將流程中使用的每個提示新增至
Resource清單。 -
如果您包含知識庫節點,則需要查詢知識庫的許可。將流程中查詢的每個知識庫新增至
Resource清單。 -
如果您包含代理程式節點,則需要叫用代理程式別名的許可。將流程中叫用的每個客服人員新增至
Resource清單。 -
如果您包含 S3 擷取節點,則需要存取要從中擷取資料的 Amazon S3 儲存貯體的許可。將要從中擷取資料的每個儲存貯體新增至
Resource清單。 -
如果您包含 S3 儲存節點,您需要許可才能寫入要儲存輸出資料的 Amazon S3 儲存貯體。新增將資料寫入
Resource清單的每個儲存貯體。 -
如果您包含知識庫節點或提示節點的護欄,則需要在流程中套用護欄的許可。將流程中使用的每個護欄新增至
Resource清單。 -
如果您包含 Lambda 節點,則需要叫用 Lambda 函數的許可。新增每個需要調用到
Resource清單的 Lambda 函數。 -
如果您包含 Amazon Lex 節點,則需要使用 Amazon Lex 機器人的許可。新增每個需要用於
Resource清單的機器人別名。 -
如果您加密流程中叫用的任何資源,則需要解密金鑰的許可。將每個金鑰新增至
Resource清單。
-
