提示管理的先決條件

若要讓角色使用提示管理，您需要允許它執行特定動作集API。檢閱下列先決條件，並滿足適用於您的使用案例的先決條件：

1. 如果您的角色已連接 AmazonBedrockFullAccess AWS 受管政策，您可以略過本節。否則，請遵循更新角色的許可政策中的步驟，並將下列政策連接至角色，以提供執行提示管理相關動作的許可：

   { 
       "Version": "2012-10-17",
       "Statement": [
           {
              "Sid": "PromptManagementPermissions",
              "Effect": "Allow",
              "Action": [
                  "bedrock:CreatePrompt",
                  "bedrock:UpdatePrompt",
                  "bedrock:GetPrompt",
                  "bedrock:ListPrompts",
                  "bedrock:DeletePrompt",
                  "bedrock:CreatePromptVersion",
                  "bedrock:OptimizePrompt",
                  "bedrock:GetFoundationModel",
                  "bedrock:ListFoundationModels",
                  "bedrock:GetInferenceProfile",
                  "bedrock:ListInferenceProfiles",
                  "bedrock:InvokeModel",
                  "bedrock:InvokeModelWithResponseStream",
                  "bedrock:RenderPrompt",
                  "bedrock:TagResource",
                  "bedrock:UntagResource",
                  "bedrock:ListTagsForResource"
              ],
              "Resource": *
           }
       ]
   }

   若要進一步限制許可，您可以省略動作，也可以指定要篩選許可的資源和條件索引鍵。如需動作、資源和條件索引鍵的詳細資訊，請參閱服務授權參考中的下列主題：

   • Amazon Bedrock 定義的動作 – 了解動作、您可以在 Resource 欄位中將它們範圍限制為 的資源類型，以及您可以在 Condition 欄位中篩選許可的條件索引鍵。

   • Amazon Bedrock 定義的資源類型 – 了解 Amazon Bedrock 中的資源類型。

   • Amazon Bedrock 的條件索引鍵 – 了解 Amazon Bedrock 中的條件索引鍵。

   注意

   • 如果您打算使用 對內容 部署提示API，請參閱 執行模型推論的先決條件 以了解您必須設定才能叫用提示的許可。

   • 如果您計劃在 Amazon Bedrock Flows 中使用流程來部署提示，請參閱 Amazon Bedrock 流程的先決條件 以了解您必須設定才能建立流程的許可。

2. 如果您計劃使用客戶受管金鑰加密提示，而不是使用 AWS 受管金鑰 （如需詳細資訊，請參閱 AWS KMS 金鑰)，請建立下列政策：

   1. 請遵循建立金鑰政策中的步驟，並將下列金鑰政策連接至KMS金鑰，以允許 Amazon Bedrock 使用金鑰加密和解密提示，values並視需要取代 。政策包含選用的條件索引鍵 （請參閱 Amazon Bedrock 的條件索引鍵和AWS 全域條件內容索引鍵)Condition，建議您將其用作安全最佳實務。

      {
          "Sid": "EncryptFlowKMS",
          "Effect": "Allow",
          "Principal": {
              "Service": "bedrock.amazonaws.com"
          },
          "Action": [
              "kms:GenerateDataKey",
              "kms:Decrypt"
          ],
          "Resource": "*",
          "Condition": {
              "StringEquals": {
                  "kms:EncryptionContext:aws:bedrock-prompts:arn": "arn:${partition}:bedrock:${region}:${account-id}:prompt/${prompt-id}"
              }
          }
      }

   2. 請遵循更新角色的許可政策，並將下列政策連接至提示管理角色，values視需要取代 ，以允許它產生和解密提示的客戶受管金鑰。政策包含選用的條件索引鍵 （請參閱 Amazon Bedrock 的條件索引鍵和AWS 全域條件內容索引鍵)Condition，建議您將其用作安全最佳實務。

      {
          "Sid": "KMSPermissions",
          "Effect": "Allow",
          "Action": [
              "kms:GenerateDataKey",
              "kms:Decrypt"
          ],
          "Resource": [
              "arn:aws:kms:${region}:${account-id}:key/${key-id}"
          ],
           "Condition": {
              "StringEquals": {
                  "aws:ResourceAccount": "${account-id}"
              }
          }
      }