Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crea un ruolo di servizio per Amazon Bedrock Flows in Amazon Bedrock
Per creare e gestire un flusso in Amazon Bedrock, devi utilizzare un ruolo di servizio con le autorizzazioni necessarie descritte in questa pagina. Puoi utilizzare un ruolo di servizio che Amazon Bedrock crea automaticamente per te nella console o utilizzarne uno personalizzato tu stesso.
Nota
Se utilizzi il ruolo di servizio che Amazon Bedrock crea automaticamente per te nella console, allegherà le autorizzazioni in modo dinamico se aggiungi nodi al flusso e salvi il flusso. Se rimuovi i nodi, tuttavia, le autorizzazioni non verranno eliminate, quindi dovrai eliminare le autorizzazioni che non ti servono più. Per gestire le autorizzazioni per il ruolo che è stato creato per te, segui i passaggi indicati in Modificare un ruolo nella Guida per l'utente IAM.
Per creare un ruolo di servizio personalizzato per Amazon Bedrock Flows, crea un ruolo IAM seguendo i passaggi descritti in Creazione di un ruolo per delegare le autorizzazioni a un servizio. AWS Quindi assegna le seguenti autorizzazioni al ruolo.
-
Policy di attendibilità
-
Le seguenti autorizzazioni basate sull'identità:
-
Accesso ai modelli base di Amazon Bedrock che verranno utilizzati dal flusso. Aggiungi ogni modello utilizzato nel flusso all'
Resourceelenco. -
Se richiami un modello utilizzando Provisioned Throughput, autorizzazioni per accedere e richiamare il modello fornito. Aggiungi ogni modello utilizzato nel flusso all'elenco.
Resource -
Se richiami un modello personalizzato, autorizzazioni per accedere e richiamare il modello personalizzato. Aggiungi ogni modello utilizzato nel flusso all'elenco.
Resource -
Autorizzazioni basate sui nodi che aggiungi al flusso:
-
Se includi nodi di prompt che utilizzano i prompt di Prompt management, sono necessarie le autorizzazioni per accedere al prompt. Aggiungi ogni prompt utilizzato nel flusso all'elenco.
Resource -
Se includi nodi della knowledge base, hai bisogno delle autorizzazioni per interrogare la knowledge base. Aggiungi all'elenco ogni base di conoscenza richiesta nel flusso.
Resource -
Se includi nodi agente, hai bisogno delle autorizzazioni per richiamare un alias dell'agente. Aggiungi ogni agente richiamato nel flusso all'elenco.
Resource -
Se includi nodi di recupero S3, sono necessarie le autorizzazioni per accedere al bucket Amazon S3 da cui verranno recuperati i dati. Aggiungi ogni bucket da cui vengono recuperati i dati all'elenco.
Resource -
Se includi nodi di storage S3, hai bisogno delle autorizzazioni per scrivere nel bucket Amazon S3 in cui verranno archiviati i dati di output. Aggiungi ogni bucket in cui vengono scritti i dati all'elenco.
Resource -
Se includi i guardrail per un nodo della knowledge base o un nodo prompt, hai bisogno delle autorizzazioni per applicare i guardrail in un flusso. Aggiungi ogni guardrail utilizzato nel flusso all'elenco.
Resource -
Se includi nodi Lambda, hai bisogno delle autorizzazioni per richiamare la funzione Lambda. Aggiungi ogni funzione Lambda che deve essere richiamata all'elenco.
Resource -
Se includi nodi Amazon Lex, hai bisogno delle autorizzazioni per utilizzare il bot Amazon Lex. Aggiungi ogni alias del bot che deve essere utilizzato all'
Resourceelenco. -
Se hai crittografato una risorsa richiamata in un flusso, hai bisogno delle autorizzazioni per decrittografare la chiave. Aggiungi ogni chiave all'elenco.
Resource
-
-
-
Se crittografi il flusso, devi anche allegare una policy chiave alla chiave KMS che usi per crittografare il flusso.
Nota
Le seguenti modifiche sono state recentemente implementate:
-
In precedenza, AWS Lambda le risorse Amazon Lex venivano richiamate utilizzando il servizio principale Amazon Bedrock. Questo comportamento sta cambiando per i flussi creati dopo il 22 novembre 2024 e il ruolo del servizio Amazon Bedrock Flows verrà utilizzato per richiamare le risorse e AWS Lambda Amazon Lex. Se hai creato flussi che utilizzano una di queste risorse prima del 22 novembre 2024, devi aggiornare i ruoli del servizio Amazon Bedrock Flows con le autorizzazioni Amazon AWS Lambda Lex.
-
In precedenza, le risorse di gestione Prompt venivano renderizzate utilizzando l'azione.
bedrock:GetPromptQuesto comportamento sta cambiando per i flussi creati dopo il 22 novembre 2024 e l'bedrock:RenderPromptazione verrà utilizzata per eseguire il rendering della risorsa prompt. Se hai creato flussi che utilizzano una risorsa prompt prima del 22 novembre 2024, devi aggiornare i ruoli del servizio Amazon Bedrock Flows con le autorizzazioni.bedrock:RenderPrompt
Se utilizzi un ruolo di servizio che Amazon Bedrock ha creato automaticamente per te nella console, Amazon Bedrock allegherà le autorizzazioni corrette in modo dinamico quando salvi il flusso.
Argomenti
Relazione di attendibilità
Allega la seguente policy di trust al ruolo di esecuzione del flusso per consentire ad Amazon Bedrock di assumere questo ruolo e gestire un flusso. Sostituisci values se necessario. La policy contiene chiavi di condizione opzionali (vedi Condition keys for Amazon Bedrock e AWS global condition context keys) nel Condition campo che ti consigliamo di utilizzare come best practice di sicurezza.
Nota
Come best practice, sostituiscila * con un ID di flusso dopo averlo creato.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "FlowsTrustBedrock", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "${account-id}" }, "ArnLike": { "AWS:SourceArn": "arn:aws:bedrock:${region}:${account-id}:flow/*" } } } ] }
Autorizzazioni basate sull'identità per il ruolo del servizio Flows.
Allega la seguente politica per fornire le autorizzazioni per il ruolo di servizio, sostituendole se necessario. values La politica contiene le seguenti dichiarazioni. Ometti una dichiarazione se non è applicabile al tuo caso d'uso. La policy contiene chiavi di condizione opzionali (vedi Condition keys for Amazon Bedrock e AWS global condition context keys) nel Condition campo che ti consigliamo di utilizzare come best practice di sicurezza.
-
Accesso ai modelli base di Amazon Bedrock che verranno utilizzati dal flusso. Aggiungi ogni modello utilizzato nel flusso all'
Resourceelenco. -
Se richiami un modello utilizzando Provisioned Throughput, autorizzazioni per accedere e richiamare il modello fornito. Aggiungi ogni modello utilizzato nel flusso all'elenco.
Resource -
Se richiami un modello personalizzato, autorizzazioni per accedere e richiamare il modello personalizzato. Aggiungi ogni modello utilizzato nel flusso all'elenco.
Resource -
Autorizzazioni basate sui nodi che aggiungi al flusso:
-
Se includi nodi di prompt che utilizzano i prompt di Prompt management, sono necessarie le autorizzazioni per accedere al prompt. Aggiungi ogni prompt utilizzato nel flusso all'elenco.
Resource -
Se includi nodi della knowledge base, hai bisogno delle autorizzazioni per interrogare la knowledge base. Aggiungi all'elenco ogni base di conoscenza richiesta nel flusso.
Resource -
Se includi nodi agente, hai bisogno delle autorizzazioni per richiamare un alias dell'agente. Aggiungi ogni agente richiamato nel flusso all'elenco.
Resource -
Se includi nodi di recupero S3, sono necessarie le autorizzazioni per accedere al bucket Amazon S3 da cui verranno recuperati i dati. Aggiungi ogni bucket da cui vengono recuperati i dati all'elenco.
Resource -
Se includi nodi di storage S3, hai bisogno delle autorizzazioni per scrivere nel bucket Amazon S3 in cui verranno archiviati i dati di output. Aggiungi ogni bucket in cui vengono scritti i dati all'elenco.
Resource -
Se includi i guardrail per un nodo della knowledge base o un nodo prompt, hai bisogno delle autorizzazioni per applicare i guardrail in un flusso. Aggiungi ogni guardrail utilizzato nel flusso all'elenco.
Resource -
Se includi nodi Lambda, hai bisogno delle autorizzazioni per richiamare la funzione Lambda. Aggiungi ogni funzione Lambda che deve essere richiamata all'elenco.
Resource -
Se includi nodi Amazon Lex, hai bisogno delle autorizzazioni per utilizzare il bot Amazon Lex. Aggiungi ogni alias del bot che deve essere utilizzato all'
Resourceelenco. -
Se hai crittografato una risorsa richiamata in un flusso, hai bisogno delle autorizzazioni per decrittografare la chiave. Aggiungi ogni chiave all'elenco.
Resource
-
{ "Version": "2012-10-17", "Statement": [ { "Sid": "InvokeModel", "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:${region}::foundation-model/${model-id}" ] }, { "Sid": "InvokeProvisionedThroughput", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:GetProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:${region}:${account-id}:provisioned-model/${model-id}" ] }, { "Sid": "InvokeCustomModel", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:GetCustomModel" ], "Resource": [ "arn:aws:bedrock:${region}:${account-id}:custom-model/${model-id}" ] }, { "Sid": "UsePromptFromPromptManagement", "Effect": "Allow", "Action": [ "bedrock:RenderPrompt" ], "Resource": [ "arn:aws:bedrock:${region}:${account-id}:prompt/${prompt-id}" ] }, { "Sid": "QueryKnowledgeBase", "Effect": "Allow", "Action": [ "bedrock:Retrieve", "bedrock:RetrieveAndGenerate" ], "Resource": [ "arn:aws:bedrock:${region}:${account-id}:knowledge-base/knowledge-base-id" ] }, { "Sid": "InvokeAgent", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent" ], "Resource": [ "arn:aws:bedrock:${region}:${account-id}:agent-alias/${agent-alias-id}" ] }, { "Sid": "AccessS3Bucket", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::${bucket-name}/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${account-id}" } } }, { "Sid": "WriteToS3Bucket", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::${bucket-name}", "arn:aws:s3:::${bucket-name}/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${account-id}" } } }, { "Sid": "GuardrailPermissions", "Effect": "Allow", "Action": "Action": [ "bedrock:ApplyGuardrail" ], "Resource": [ "arn:${Partition}:bedrock:${Region}:${Account}:guardrail/${GuardrailId}" ] }, { "Sid": "LambdaPermissions", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:${region}:${account-id}:function:${function-name}" ] }, { "Sid": "AmazonLexPermissions", "Effect": "Allow", "Action": [ "lex:RecognizeUtterance" ], "Resource": [ "arn:aws:lex:${region}:${account-id}:bot-alias/${bot-id}/${bot-alias-id}" ] }, { "Sid": "KMSPermissions", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:${region}:${account-id}:key/${key-id}" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${account-id}" } } } ] }
