在 Amazon Bedrock 中重新排名的許可 - Amazon Bedrock

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon Bedrock 中重新排名的許可

使用者需要下列許可才能使用重新排名:

  • 他們計劃使用之重新排名模型的存取權。如需詳細資訊,請參閱存取 Amazon Bedrock 基礎模型

  • 使用者角色的許可,如果他們計劃在 Retrieve 工作流程中使用重新排名,則為與其角色具有信任關係之 Amazon Bedrock 知識庫服務角色的許可。

    提示

    若要快速設定所需的許可,您可以執行下列動作:

    • AmazonBedrockFullAccessAWS 受管政策連接至使用者角色。如需更多將政策連接至 IAM 角色的相關資訊,請參閱新增和移除 IAM 身分許可

    • 建立知識庫時使用 Amazon Bedrock 主控台建立 Amazon Bedrock 知識庫服務角色。如果您已經有主控台為您建立的 Amazon Bedrock 知識庫服務角色,則可以在主控台中擷取來源時使用主控台更新角色。

    重要

    當您以 Amazon Bedrock 知識庫服務角色在 Retrieve 工作流程中使用重新排名時,請注意下列事項:

    • 如果您手動編輯 Amazon Bedrock 為知識庫服務角色建立的 AWS Identity and Access Management(IAM) 政策,則在嘗試更新 中的許可時可能會遇到錯誤AWS 管理主控台。若要解決此問題,請在 IAM 主控台中刪除您手動建立的政策版本。然後,在 Amazon Bedrock 主控台中重新整理重新排名器頁面,然後重新嘗試。

    • 如果您使用自訂角色,則 Amazon Bedrock 無法代表您更新知識庫服務角色。確認已針對服務角色正確設定許可。

    如需使用案例及其所需許可的摘要,請參閱下表:

    使用案例 需要的使用者許可 需要的 Amazon Bedrock 知識庫服務角色許可
    獨立使用重新排名

    • bedrock:Rerank

    • bedrock:InvokeModel,選擇性地將範圍限制在重新排名模型

    		 N/A
    Retrieve 工作流程中使用重新排名

    • bedrock:Retrieve

    • bedrock:Rerank

    • bedrock:InvokeModel,選擇性地將範圍限制在重新排名模型
    RetrieveAndGenerate 工作流程中使用重新排名

    • bedrock:RetrieveAndGenerate

    • bedrock:Rerank

    • bedrock:InvokeModel,選擇性地將範圍限定為重新排名模型和用於產生回應的模型。

    		 N/A

如需您可以連接到 IAM 角色的範例許可政策,請展開與使用案例對應的區段:

若要將重新排名直接與來源清單搭配使用,使用者角色需要可使用 bedrock:Rerankbedrock:InvokeModel 動作的許可。同樣地,若要防止使用重新排名模型,您必須拒絕這兩個動作的許可。若要允許使用者角色獨立使用重新排名模型,您可以將下列政策連接至角色:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/model-id"
            ]
        }
    ]
}

在上述政策中,對於 bedrock:InvokeModel 動作,您可以將許可範圍限定為您想要允許角色用於重新排名的模型。若要允許存取所有模型,請在 Resource 欄位中使用萬用字元 (*)。

若要在從知識庫擷取資料時使用重新排名,您必須設定下列許可:

對於使用者角色

使用者角色需要許可才能使用 bedrock:Retrieve 動作。若要允許使用者角色從知識庫擷取資料,您可以將下列政策連接至角色:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
            ]
        }
    ]
}

在上述政策中,對於 bedrock:Retrieve 動作,您可以將許可範圍限定為您想要允許角色擷取其資訊的知識庫。若要允許存取所有知識庫,您可以在 Resource 欄位中使用萬用字元 (*)。

對於服務角色

使用者使用的 Amazon Bedrock 知識庫服務角色需要許可才能使用 bedrock:Rerankbedrock:InvokeModel 動作。當您設定知識庫擷取時,若您選擇重新排名模型,則您可以使用 Amazon Bedrock 主控台以自動為您的服務角色設定許可。否則,若要允許服務角色在擷取期間將來源重新排名,您可以連接下列政策:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId"
        }
    ]
}

在上述政策中,對於 bedrock:InvokeModel 動作,您可以將許可範圍限定為您想要允許角色用於重新排名的模型。若要允許存取所有模型,您可以在 Resource 欄位中使用萬用字元 (*)。

若要在從知識庫擷取資料,之後根據擷取的結果產生回應時使用重新排名器模型,使用者角色需要使用 bedrock:RetrieveAndGeneratebedrock:Rerankbedrock:InvokeModel 動作的許可。若要允許在擷取期間重新排序來源,並允許根據結果產生回應,您可以將下列政策連接至使用者角色:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankRetrieveAndGenerateSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/GenerationModelId}"
            ]
        }
    ]
}

在上述政策中,對於 bedrock:InvokeModel 操作,您可以將許可範圍限定為您想要允許角色用於重新排名的模型,以及您想要允許角色用於產生回應的模型。若要允許存取所有模型,您可以在 Resource 欄位中使用萬用字元 (*)。

若要進一步限制許可,您可以忽略動作,也可以指定要篩選許可的資源和條件索引鍵。如需動作、資源和條件索引鍵的詳細資訊,請參閱服務授權參考中的下列主題: