翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ロールがプロンプト管理を使用するには、特定のアクションセットの実行を許可する必要がありますAPI。以下の前提条件を確認し、ユースケースに適用されるものを満たします。
-
ロールに AmazonBedrockFullAccess AWS 管理ポリシーがアタッチされている場合は、このセクションをスキップできます。それ以外の場合は、「「ロールのアクセス許可ポリシーを更新」のステップに従って、以下のポリシーをロールにアタッチし、プロンプト管理に関連するアクションを実行するアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PromptManagementPermissions", "Effect": "Allow", "Action": [ "bedrock:CreatePrompt", "bedrock:UpdatePrompt", "bedrock:GetPrompt", "bedrock:ListPrompts", "bedrock:DeletePrompt", "bedrock:CreatePromptVersion", "bedrock:OptimizePrompt", "bedrock:GetFoundationModel", "bedrock:ListFoundationModels", "bedrock:GetInferenceProfile", "bedrock:ListInferenceProfiles", "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream", "bedrock:RenderPrompt", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource" ], "Resource": * } ] }
アクセス許可をさらに制限するには、アクションを省略するか、アクセス許可をフィルタリングするリソースと条件キーを指定できます。アクション、リソース、および条件キーの詳細については、「サービス認可リファレンス」の以下のトピックを参照してください。
-
Amazon Bedrock で定義されるアクション – アクション、
Resource
フィールドでスコープできるリソースタイプ、およびCondition
フィールドでアクセス許可をフィルタリングできる条件キーについて説明します。 -
Amazon Bedrock で定義されるリソースタイプ — Amazon Bedrock のリソースタイプについて説明します。
-
Amazon Bedrock の条件キー – Amazon Bedrock の条件キーについて説明します。
注記
-
Converse を使用してプロンプトをデプロイする場合はAPI、モデル推論を実行するための前提条件「」を参照して、プロンプトを呼び出すために設定する必要があるアクセス許可を確認してください。
-
Amazon Bedrock Flows でフローを使用してプロンプトをデプロイする場合は、「」を参照して、フローを作成するために設定する必要があるアクセス許可Amazon Bedrock フローの前提条件を確認してください。
-
-
を使用するのではなく、カスタマーマネージドキーを使用してプロンプトを暗号化する場合は AWS マネージドキー (詳細については、 AWS KMS キーを参照)、次のポリシーを作成します。
-
「キーポリシーの作成」のステップに従い、次のキーポリシーをKMSキーにアタッチして、Amazon Bedrock がプロンプトをキーで暗号化および復号化できるようにし、
values
必要に応じて を置き換えます。このポリシーには、セキュリティのベストプラクティスとして使用することを推奨するCondition
フィールドに、オプションの条件キー (「Amazon Bedrock の条件キー」および「AWS のグローバル条件コンテキストキー」を参照) が含まれています。{ "Sid": "EncryptFlowKMS", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-prompts:arn": "arn:
${partition}
:bedrock:${region}
:${account-id}
:prompt/${prompt-id}
" } } } -
「ロールのアクセス許可ポリシーを更新」のステップに従い、プロンプト管理ロールに次のポリシーをアタッチします。
values
必要に応じて を置き換えて、プロンプトのカスタマーマネージドキーを生成および復号できるようにします。このポリシーには、セキュリティのベストプラクティスとして使用することを推奨するCondition
フィールドに、オプションの条件キー (「Amazon Bedrock の条件キー」および「AWS のグローバル条件コンテキストキー」を参照) が含まれています。{ "Sid": "KMSPermissions", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
${region}
:${account-id}
:key/${key-id}
" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${account-id}
" } } }
-