選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

為 Amazon Bedrock 代理程式建立服務角色

RSS
焦點模式
為 Amazon Bedrock 代理程式建立服務角色 - Amazon Bedrock
信任關係Agents 服務角色的身分型許可(選用) 以身分為基礎的政策,以允許 Amazon Bedrock 搭配您的代理程式別名使用佈建輸送量(選用) 以身分為基礎的政策,以允許 Amazon Bedrock 搭配您的代理程式使用護欄(選用) 以身分為基礎的政策,允許 Amazon Bedrock 從 S3 存取檔案,以搭配程式碼解譯使用以資源為基礎的政策,以允許 Amazon Bedrock 叫用動作群組 Lambda 函數

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要為客服人員使用自訂服務角色,而不是自動建立的 Amazon Bedrock,請依照建立IAM角色以將許可委派給 服務中的步驟建立角色並連接下列許可。 AWS

  • 信任政策

  • 包含下列身分型許可的政策:

    • 存取 Amazon Bedrock 基礎模型。

    • 存取包含 的 Amazon S3 物件 OpenAPI 代理程式中動作群組的結構描述。

    • Amazon Bedrock 查詢您要連接至客服人員之知識庫的許可。

    • 如果下列任何情況與您的使用案例相關,請將陳述式新增至政策,或將具有陳述式的政策新增至服務角色:

      • (選用) 如果您將佈建輸送量與客服人員別名建立關聯,則使用 佈建輸送量執行模型調用的許可。

      • (選用) 如果您將護欄與代理程式建立關聯,則套用該護欄的許可。如果護欄使用KMS金鑰加密,服務角色也需要解密金鑰的許可

      • (選用) 如果您使用KMS金鑰加密代理程式,則允許解密金鑰

無論您是否使用自訂角色,您還需要將資源型政策連接至代理程式中動作群組的 Lambda 函數,以提供服務角色存取函數的許可。如需詳細資訊,請參閱以資源為基礎的政策,以允許 Amazon Bedrock 叫用動作群組 Lambda 函數

信任關係

下列信任政策允許 Amazon Bedrock 擔任此角色,並建立和管理客服人員。${values} 視需要更換 。此政策包含選用的條件金鑰 (請參閱 Amazon Bedrock 的條件金鑰AWS 全域條件內容金鑰)Condition,建議您將其用作安全最佳實務。

注意

基於安全考量的最佳實務是,請在建立特定代理程式IDs之後,將 取代*為特定代理程式。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "bedrock.amazonaws.com"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "${account-id}"
            },
            "ArnLike": {
                "AWS:SourceArn": "arn:aws:bedrock:${region}:${account-id}:agent/*"
            }
        }
    }]
}

Agents 服務角色的身分型許可

連接下列政策以提供服務角色的許可,${values}並視需要取代 。政策包含下列陳述式。如果不適用於您的使用案例,請省略陳述式。政策包含選用的條件金鑰 (請參閱 Amazon Bedrock 的條件金鑰AWS 全域條件內容金鑰)Condition,建議您將其用作安全最佳實務。

注意

如果您使用客戶受管KMS金鑰加密代理程式,請參閱 代理程式資源加密 以取得您需要新增的進一步許可。

  • 使用 Amazon Bedrock 基礎模型對代理程式協調中使用的提示執行模型推論的許可。

  • 在 Amazon S3 中存取代理程式動作群組API結構描述的許可。如果您的客服人員沒有動作群組,請省略此陳述式。

  • 存取與您的代理程式相關聯知識庫的許可。如果您的代理程式沒有相關聯的知識庫,請省略此陳述式。

  • 存取第三方的許可 (Pinecone 或 Redis Enterprise Cloud) 與您的代理程式相關聯的知識庫。如果您的知識庫是第一方 (Amazon OpenSearch Serverless 或 Amazon Aurora),或您的代理程式沒有相關聯的知識庫,請省略此陳述式。

  • 從提示管理存取提示的許可。如果您不打算在 Amazon Bedrock 主控台中使用代理程式測試提示管理的提示,請省略此陳述式。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AgentModelInvocationPermissions",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-v2",
                "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-v2:1",
                "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-instant-v1"
            ]
        },
        {
            "Sid": "AgentActionGroupS3",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket/path/to/schema"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${account-id}"
                }
            }
        },
        {
            "Sid": "AgentKnowledgeBaseQuery",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:knowledge-base/knowledge-base-id"
            ]
        },
        {
            "Sid": "Agent3PKnowledgeBase",
            "Effect": "Allow",
            "Action": [
                "bedrock:AssociateThirdPartyKnowledgeBase",
            ],
            "Resource": "arn:aws:bedrock:${region}:${account-id}:knowledge-base/knowledge-base-id",
            "Condition": { 
                "StringEquals" : { 
                    "bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:kms:${region}:${account-id}:key/${key-id}"
                }
            }
        },
        {
            "Sid": "AgentPromptManagementConsole",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetPrompt",
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:prompt/prompt-id"
            ]
        },
    ]
}

(選用) 以身分為基礎的政策,以允許 Amazon Bedrock 搭配您的代理程式別名使用佈建輸送量

如果您將佈建輸送量與代理程式的別名建立關聯,請將下列身分型政策連接至服務角色,或將陳述式新增至 中的政策Agents 服務角色的身分型許可

{
    "Version": "2012-10-17",
    "Statement": [
      {        
        "Sid": "Use a Provisioned Throughput in model invocation",
        "Effect": "Allow",
        "Action": [
            "bedrock:InvokeModel", 
            "bedrock:GetProvisionedModelThroughput"
        ],
        "Resource": [
            "arn:aws:bedrock:{${region}}:{${account-id}}:${provisioned-model-id}"
        ]
      }
    ]
}

(選用) 以身分為基礎的政策,以允許 Amazon Bedrock 搭配您的代理程式使用護欄

如果您將護欄與代理程式建立關聯,請將下列身分型政策連接至服務角色,或將陳述式新增至 中的政策Agents 服務角色的身分型許可

{
    "Version": "2012-10-17",
    "Statement": [
        {  
            "Sid": "Apply a guardrail to your agent",
            "Effect": "Allow",
            "Action": "bedrock:ApplyGuardrail",
            "Resource": [
                "arn:aws:bedrock:{${region}}:{${account-id}}:guardrail/${guardrail-id}"
            ]
        }
    ]
}

(選用) 以身分為基礎的政策,允許 Amazon Bedrock 從 S3 存取檔案,以搭配程式碼解譯使用

如果您啟用 在 Amazon Bedrock 中啟用程式碼解譯,請將下列以身分為基礎的政策連接至服務角色,或在 Agents 服務角色的以身分為基礎的許可中,將陳述式新增至政策。

{
  "Version": "2012-10-17",
  "Statement": [
      {       
        "Sid": "AmazonBedrockAgentFileAccess", 
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:GetObjectVersionAttributes",
            "s3:GetObjectAttributes"
        ],
        "Resource": [
            "arn:aws:s3:::[[customerProvidedS3BucketWithKey]]"
        ]
      }
    ]
}

以資源為基礎的政策,以允許 Amazon Bedrock 叫用動作群組 Lambda 函數

請遵循使用 Lambda 的資源型政策,並將下列資源型政策連接至 Lambda 函數,以允許 Amazon Bedrock 存取代理程式動作群組的 Lambda 函數,${values}並視需要取代 。政策包含選用的條件金鑰 (請參閱 Amazon Bedrock 的條件金鑰AWS 全域條件內容金鑰),這是建議您做為安全最佳實務的Condition欄位中。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow Amazon Bedrock to access action group Lambda function",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "lambda:InvokeFunction",
            "Resource":  "arn:aws:lambda:${region}:${account-id}:function:function-name",
            "Condition": {
                "StringEquals": {
                    "AWS:SourceAccount": "${account-id}"
                },
                "ArnLike": {
                    "AWS:SourceArn": "arn:aws:bedrock:${region}:${account-id}:agent/${agent-id}"
                }
            }
        }
    ]
}

在本頁面

Related resources

Amazon Bedrock API 參考
AWS CLI 的 命令 Amazon Bedrock
SDK 與工具 

Related resources

Amazon Bedrock API 參考
AWS CLI 的 命令 Amazon Bedrock
SDK 與工具 
隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。