Hubungan kepercayaan Izin berbasis identitas untuk peran layanan flow.Kebijakan berbasis sumber daya untuk arus cepat

Buat peran layanan untuk alur Amazon Bedrock Prompt di Amazon Bedrock

Untuk membuat dan mengelola alur prompt di Amazon Bedrock, Anda harus menggunakan peran layanan dengan izin yang diperlukan yang diuraikan di halaman ini. Anda dapat menggunakan peran layanan yang dibuat Amazon Bedrock secara otomatis untuk Anda di konsol atau menggunakan salah satu yang Anda sesuaikan sendiri.

catatan

Jika Anda menggunakan peran layanan yang dibuat Amazon Bedrock secara otomatis untuk Anda di konsol, itu akan melampirkan izin secara dinamis jika Anda menambahkan node ke alur Anda dan menyimpan alur. Namun, jika Anda menghapus node, izin tidak akan dihapus, jadi Anda harus menghapus izin yang tidak lagi Anda perlukan. Untuk mengelola izin untuk peran yang dibuat untuk Anda, ikuti langkah-langkah di Memodifikasi peran dalam IAM Panduan Pengguna.

Untuk membuat peran layanan kustom untuk alur Amazon Bedrock Prompt, buat IAM peran dengan mengikuti langkah-langkah di Membuat peran untuk mendelegasikan izin ke layanan. AWS Kemudian lampirkan izin berikut ke peran.

Kebijakan kepercayaan
Izin berbasis identitas berikut:
- Akses ke model dasar Amazon Bedrock yang akan digunakan aliran prompt. Tambahkan setiap model yang digunakan dalam alur prompt ke Resource daftar.
- Jika Anda memanggil model menggunakan Provisioned Throughput, izin untuk mengakses dan memanggil model yang disediakan. Tambahkan setiap model yang digunakan dalam alur prompt ke Resource daftar.
- Jika Anda memanggil model kustom, izin untuk mengakses dan memanggil model kustom. Tambahkan setiap model yang digunakan dalam alur prompt ke Resource daftar.
- Izin berdasarkan node yang Anda tambahkan ke alur:
  - Jika Anda menyertakan node prompt yang menggunakan prompt dari manajemen Prompt, izin untuk mengakses prompt. Tambahkan setiap prompt yang digunakan dalam alur prompt ke Resource daftar.
  - Jika Anda menyertakan node basis pengetahuan, izin untuk menanyakan basis pengetahuan. Tambahkan setiap basis pengetahuan yang ditanyakan dalam alur prompt ke Resource daftar.
  - Jika Anda menyertakan node agen, izin untuk memanggil alias agen. Tambahkan setiap agen yang dipanggil dalam alur prompt ke Resource daftar.
  - Jika Anda menyertakan node pengambilan S3, izin untuk mengakses bucket Amazon S3 dari mana data akan diambil. Tambahkan setiap bucket dari mana data diambil ke Resource daftar.
  - Jika Anda menyertakan node penyimpanan S3, izin untuk menulis ke bucket Amazon S3 tempat data keluaran akan disimpan. Tambahkan setiap bucket ke mana data ditulis ke Resource daftar.
  - Jika Anda mengenkripsi sumber daya apa pun yang dipanggil dalam alur prompt, izin untuk mendekripsi kunci. Tambahkan setiap tombol ke Resource daftar.

Anda mungkin juga perlu melampirkan kebijakan berbasis sumber daya berikut:

Jika Anda menyertakan node fungsi Lambda, lampirkan kebijakan berbasis sumber daya ke fungsi Lambda yang dipanggil alur prompt untuk memberikan izin bagi peran layanan untuk mengakses fungsi tersebut. Untuk informasi selengkapnya, lihat Kebijakan berbasis sumber daya untuk mengizinkan Amazon Bedrock menjalankan fungsi Lambda grup tindakan.
Jika Anda menyertakan node Amazon Lex, lampirkan kebijakan berbasis sumber daya ke bot Amazon Lex yang dipanggil alur prompt untuk memberikan izin bagi peran layanan untuk mengakses bot Amazon Lex. Untuk informasi selengkapnya, lihat Contoh kebijakan berbasis sumber daya untuk Amazon Lex.
Jika Anda mengenkripsi alur prompt, lampirkan kebijakan kunci ke KMS kunci yang Anda gunakan untuk mengenkripsi alur prompt.

Topik

Hubungan kepercayaan
Izin berbasis identitas untuk peran layanan flow.
Kebijakan berbasis sumber daya untuk arus cepat

Hubungan kepercayaan

Lampirkan kebijakan kepercayaan berikut ke peran eksekusi alur prompt untuk memungkinkan Amazon Bedrock mengambil peran ini dan mengelola alur prompt. Ganti values seperti yang diperlukan. Kebijakan ini berisi kunci kondisi opsional (lihat Kunci kondisi untuk Amazon Bedrock dan kunci konteks kondisi AWS global) di Condition bidang yang kami sarankan Anda gunakan sebagai praktik terbaik keamanan.

catatan

Sebagai praktik terbaik, ganti * dengan ID aliran prompt setelah Anda membuatnya.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "FlowsTrustBedrock",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "${account-id}"
                },
                "ArnLike": {
                    "AWS:SourceArn": "arn:aws:bedrock:${region}:${account-id}:flow/*"
                }
            }
        }
    ]
}

Izin berbasis identitas untuk peran layanan flow.

Lampirkan kebijakan berikut untuk memberikan izin untuk peran layanan, menggantikan values seperti yang diperlukan. Kebijakan tersebut berisi pernyataan berikut. Hilangkan pernyataan jika tidak berlaku untuk kasus penggunaan Anda. Kebijakan ini berisi kunci kondisi opsional (lihat Kunci kondisi untuk Amazon Bedrock dan kunci konteks kondisi AWS global) di Condition bidang yang kami sarankan Anda gunakan sebagai praktik terbaik keamanan.

Akses ke model dasar Amazon Bedrock yang akan digunakan aliran prompt. Tambahkan setiap model yang digunakan dalam alur prompt ke Resource daftar.
Jika Anda memanggil model menggunakan Provisioned Throughput, izin untuk mengakses dan memanggil model yang disediakan. Tambahkan setiap model yang digunakan dalam alur prompt ke Resource daftar.
Jika Anda memanggil model kustom, izin untuk mengakses dan memanggil model kustom. Tambahkan setiap model yang digunakan dalam alur prompt ke Resource daftar.
Izin berdasarkan node yang Anda tambahkan ke alur:
- Jika Anda menyertakan node prompt yang menggunakan prompt dari manajemen Prompt, izin untuk mengakses prompt. Tambahkan setiap prompt yang digunakan dalam alur prompt ke Resource daftar.
- Jika Anda menyertakan node basis pengetahuan, izin untuk menanyakan basis pengetahuan. Tambahkan setiap basis pengetahuan yang ditanyakan dalam alur prompt ke Resource daftar.
- Jika Anda menyertakan node agen, izin untuk memanggil alias agen. Tambahkan setiap agen yang dipanggil dalam alur prompt ke Resource daftar.
- Jika Anda menyertakan node pengambilan S3, izin untuk mengakses bucket Amazon S3 dari mana data akan diambil. Tambahkan setiap bucket dari mana data diambil ke Resource daftar.
- Jika Anda menyertakan node penyimpanan S3, izin untuk menulis ke bucket Amazon S3 tempat data keluaran akan disimpan. Tambahkan setiap bucket ke mana data ditulis ke Resource daftar.
- Jika Anda mengenkripsi sumber daya apa pun yang dipanggil dalam alur prompt, izin untuk mendekripsi kunci. Tambahkan setiap tombol ke Resource daftar.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InvokeModel",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}::foundation-model/${model-id}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:GetProvisionedModelThroughput"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:provisioned-model/${model-id}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:GetCustomModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:custom-model/${model-id}"
            ]
        },
        {
            "Sid": "UsePromptManagement",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetPrompt"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:prompt/${prompt-id}"
            ]
        },
        {
            "Sid": "QueryKnowledgeBase",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:knowledge-base/knowledge-base-id"
            ]
        },
        {
            "Sid": "InvokeAgent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:agent-alias/${agent-alias-id}"
            ]
        },
        {
            "Sid": "AccessS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::${bucket-name}/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${account-id}"
                }
            }
        },
        {
            "Sid": "WriteToS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::${bucket-name}",
                "arn:aws:s3:::${bucket-name}/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${account-id}"
                }
            }
        },
        {
            "Sid": "KMSPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:${region}:${account-id}:key/${key-id}"
            ],
             "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${account-id}"
                }
            }
        }
    ]
}

Kebijakan berbasis sumber daya untuk arus cepat

Jika Anda menyertakan node fungsi Lambda atau node Amazon Lex dalam alur prompt, Anda harus melampirkan kebijakan berikut ke setiap sumber daya untuk memberikan izin bagi Amazon Bedrock untuk mengaksesnya saat menjalankan alur prompt.

Topik

Kebijakan berbasis sumber daya untuk mengizinkan Amazon Bedrock menjalankan fungsi Lambda saat menjalankan alur prompt
Kebijakan berbasis sumber daya untuk mengizinkan Amazon Bedrock memanggil bot Amazon Lex
Kebijakan utama untuk mengizinkan Amazon Bedrock mengenkripsi dan mendekripsi alur

Kebijakan berbasis sumber daya untuk mengizinkan Amazon Bedrock menjalankan fungsi Lambda saat menjalankan alur prompt

Ikuti langkah-langkah di Menggunakan kebijakan berbasis sumber daya untuk Lambda dan lampirkan kebijakan berbasis sumber daya berikut ke fungsi Lambda untuk memungkinkan Amazon Bedrock mengakses fungsi Lambda untuk alur prompt Anda, menggantikan values seperti yang diperlukan. Kebijakan ini berisi kunci kondisi opsional (lihat Kunci kondisi untuk Amazon Bedrock dan kunci konteks kondisi AWS global) di Condition bidang yang kami sarankan Anda gunakan sebagai praktik terbaik keamanan.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowBedrockToAccessLambdaFunction",
        "Effect": "Allow",
        "Principal": {
            "Service": "bedrock.amazonaws.com"
        },
        "Action": "lambda:InvokeFunction",
        "Resource":  "arn:aws:lambda:${region}:${account-id}:function:${function-name}",
        "Condition": {
            "StringEquals": {
                "AWS:SourceAccount": "${account-id}"
            },
            "ArnLike": {
                "AWS:SourceArn": "arn:aws:bedrock:${region}:${account-id}:flow/${flow-id}"
            }
        }
    }]
}

Kebijakan berbasis sumber daya untuk mengizinkan Amazon Bedrock memanggil bot Amazon Lex

Ikuti langkah-langkah di contoh kebijakan berbasis Sumber Daya untuk Amazon Lex dan lampirkan kebijakan berbasis sumber daya berikut ke bot Amazon Lex untuk memungkinkan Amazon Bedrock memanggilnya dalam alur prompt, menggantikan values seperti yang diperlukan. Kebijakan ini berisi kunci kondisi opsional (lihat Kunci kondisi untuk Amazon Bedrock dan kunci konteks kondisi AWS global) di Condition bidang yang kami sarankan Anda gunakan sebagai praktik terbaik keamanan.


{
  "Version": "2012-10-17",
  "Statement": [
      {        
        "Sid": "AllowBedrockToAccessLexBot",
        "Effect": "Allow",
        "Principal": {
            "Service": [
                "bedrock.amazonaws.com"
            ]
        },
        "Action": [
            "lex:RecognizeUtterance"
        ],
        "Resource": [
            "arn:aws:lex:${region}:${account-id}:bot-alias/${bot-id}/${bot-alias-id}"
        ],
        "Condition": {
            "StringEquals": {
                "AWS:SourceAccount": ${account-id}
            },
            "ArnEquals": {
                "AWS:SourceArn": "arn:aws:bedrock:${region}:${account-id}:flow/${flow-id}"
            }
        }
      }
    ]

Kebijakan utama untuk mengizinkan Amazon Bedrock mengenkripsi dan mendekripsi alur

Ikuti langkah-langkah di Membuat kebijakan kunci dan lampirkan kebijakan kunci berikut ke KMS kunci untuk memungkinkan Amazon Bedrock mengenkripsi dan mendekripsi alur dengan kunci, menggantikan values seperti yang diperlukan. Kebijakan ini berisi kunci kondisi opsional (lihat Kunci kondisi untuk Amazon Bedrock dan kunci konteks kondisi AWS global) di Condition bidang yang kami sarankan Anda gunakan sebagai praktik terbaik keamanan.


{
    "Sid": "EncryptFlowKMS",
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext": "arn:aws:bedrock:${region}:${account-id}:flow/${flow-id}"
        }
    }
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Peran layanan basis pengetahuan

Peran layanan Bedrock Studio