As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Para que um usuário ou função realize ações relacionadas às Bases de Conhecimento Amazon Bedrock, você deve anexar políticas que concedam permissões para realizar as ações. Este tópico descreve as permissões que permitem ao usuário criar e gerenciar uma base de conhecimento conectada a um armazenamento de dados estruturado. Também descreve as permissões que permitem ao usuário recuperar informações dessas bases de conhecimento e gerar respostas a partir delas.
Expanda as seções a seguir para saber como configurar permissões para casos de uso específicos:
Para permitir que uma função do IAM crie uma base de conhecimento, conecte-a a um armazenamento de dados estruturado, gerencie a base de conhecimento e inicie e gerencie trabalhos de ingestão da fonte de dados à base de conhecimento, você deve fornecer permissões para as IngestionJob ações KnowledgeBaseDataSource, e. Para fornecer permissões para marcar bases de conhecimento, inclua permissões para bedrock:TagResource bedrock:UntagResource e.
nota
Se o usuário ou a função tiver a política AmazonBedrockFullAccess AWS gerenciada anexada, você poderá ignorar esse pré-requisito.
Para permitir que uma função execute essas ações, anexe a seguinte política à função:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateKB",
"Effect": "Allow",
"Action": [
"bedrock:CreateKnowledgeBase"
],
"Resource": "*"
},
{
"Sid": "KBDataSourceManagement",
"Effect": "Allow",
"Action": [
"bedrock:GetKnowledgeBase",
"bedrock:ListKnowledgeBases",
"bedrock:UpdateKnowledgeBase",
"bedrock:DeleteKnowledgeBase",
"bedrock:StartIngestionJob",
"bedrock:GetIngestionJob",
"bedrock:ListIngestionJobs",
"bedrock:StopIngestionJob",
"bedrock:TagResource",
"bedrock:UntagResource"
],
"Resource": [
"arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/*"
]
}
]
}Depois de criar uma base de conhecimento, recomendamos que você defina o escopo das permissões no KBDataSourceManagement extrato substituindo o caractere curinga (*) pelo ID da base de conhecimento que você criou.
Para permitir que uma função do IAM consulte uma base de conhecimento conectada a um armazenamento de dados estruturado, anexe a seguinte política à função:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GetKB",
"Effect": "Allow",
"Action": [
"bedrock:GetKnowledgeBase"
],
"Resource": [
"arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/${KnowledgeBaseId}"
]
},
{
"Sid": "GenerateQueryAccess",
"Effect": "Allow",
"Action": [
"bedrock:GenerateQuery",
"sqlworkbench:GetSqlRecommendations"
],
"Resource": "*"
},
{
"Sid": "Retrieve",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve",
]
"Resource": [
"arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/${KnowledgeBaseId}"
]
},
{
"Sid": "RetrieveAndGenerate",
"Effect": "Allow",
"Action": [
"bedrock:RetrieveAndGenerate",
]
"Resource": [
"*"
]
}
]
}Você pode remover declarações desnecessárias, dependendo do seu caso de uso:
-
GenerateQueryAs instruçõesGetKBe devem ser chamadas GenerateQuerypara gerar consultas SQL que levem em consideração as consultas do usuário e sua fonte de dados conectada. -
A
Retrievedeclaração é necessária para ligar Retrievepara recuperar dados do seu armazenamento de dados estruturado. -
A
RetrieveAndGeneratedeclaração é necessária para ligar RetrieveAndGeneratepara recuperar dados do seu armazenamento de dados estruturado e gerar respostas com base nos dados.
Se você planeja usar RetrieveAndGeneratepara gerar respostas com base nos dados recuperados de sua fonte de dados, solicite acesso aos modelos básicos a serem usados na geração seguindo as etapas emAcessar modelos de base do Amazon Bedrock.
Para restringir ainda mais as permissões, você pode omitir ações ou especificar recursos e chaves de condição para filtrar as permissões. Para obter mais informações sobre ações, recursos e chaves de condição, consulte os tópicos a seguir na Referência de Autorização de Serviço:
-
Ações definidas pelo Amazon Bedrock — Saiba mais sobre ações, os tipos de recursos para os quais você pode definir o escopo delas no
Resourcecampo e as chaves de condição nas quais você pode filtrar as permissões noConditioncampo. -
Tipos de recursos definidos pelo Amazon Bedrock — Saiba mais sobre os tipos de recursos no Amazon Bedrock.
-
Chaves de condição para o Amazon Bedrock — Saiba mais sobre as chaves de condição no Amazon Bedrock.
