Vertrauensstellung Identitätsbasierte Berechtigungen für die Servicerolle „Agenten“(Optional) Identitätsbasierte Richtlinie, die es Amazon Bedrock ermöglicht, Provisioned Throughput mit Ihrem Agenten-Alias zu verwenden (Optional) Identitätsbasierte Richtlinie, die es Amazon Bedrock ermöglicht, Guardrails mit Ihrem Agenten zu verwenden (Optional) Identitätsbasierte Richtlinie, die es Amazon Bedrock ermöglicht, auf Dateien aus S3 zuzugreifen, um sie mit Codeinterpretation zu verwenden Ressourcenbasierte Richtlinie, die es Amazon Bedrock ermöglicht, eine Lambda-Funktion für Aktionsgruppen aufzurufen

Erstellen Sie eine Servicerolle für Amazon Bedrock Agents

Um eine benutzerdefinierte Servicerolle für Agenten anstelle der automatisch von Amazon Bedrock erstellten zu verwenden, erstellen Sie eine IAM-Rolle und fügen Sie die folgenden Berechtigungen hinzu, indem Sie die Schritte unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen Service ausführen. AWS

Vertrauensrichtlinie
Eine Richtlinie mit den folgenden identitätsbasierten Berechtigungen:
- Zugriff auf die Amazon Bedrock-Basismodelle.
- Zugriff auf die Amazon S3 S3-Objekte, die die OpenAPI Schemas für die Aktionsgruppen in Ihren Agenten.
- Berechtigungen für Amazon Bedrock, Wissensdatenbanken abzufragen, die Sie an Ihre Agenten anhängen möchten.
- Wenn eine der folgenden Situationen auf Ihren Anwendungsfall zutrifft, fügen Sie die Erklärung zur Richtlinie hinzu oder fügen Sie eine Richtlinie mit der Erklärung zur Servicerolle hinzu:
  - (Optional) Wenn Sie Ihrem Agentenalias einen Provisioned Throughput zuordnen, sind Sie berechtigt, einen Modellaufruf mit diesem bereitgestellten Durchsatz durchzuführen.
  - (Optional) Wenn Sie Ihrem Agenten eine Leitplanke zuordnen, sind Sie berechtigt, diese Leitplanke anzuwenden. Wenn die Guardrail mit einem KMS-Schlüssel verschlüsselt ist, benötigt die Servicerolle auch Berechtigungen, um den Schlüssel zu entschlüsseln
  - (Optional) Wenn Sie Ihren Agenten mit einem KMS-Schlüssel verschlüsseln, sind Berechtigungen zum Entschlüsseln des Schlüssels erforderlich.

Unabhängig davon, ob Sie eine benutzerdefinierte Rolle verwenden oder nicht, müssen Sie außerdem eine ressourcenbasierte Richtlinie an die Lambda-Funktionen für die Aktionsgruppen in Ihren Agenten anhängen, um der Servicerolle Berechtigungen für den Zugriff auf die Funktionen zu gewähren. Weitere Informationen finden Sie unter Ressourcenbasierte Richtlinie, die es Amazon Bedrock ermöglicht, eine Lambda-Funktion für Aktionsgruppen aufzurufen.

Themen

Vertrauensstellung
Identitätsbasierte Berechtigungen für die Servicerolle „Agenten“
(Optional) Identitätsbasierte Richtlinie, die es Amazon Bedrock ermöglicht, Provisioned Throughput mit Ihrem Agenten-Alias zu verwenden
(Optional) Identitätsbasierte Richtlinie, die es Amazon Bedrock ermöglicht, Guardrails mit Ihrem Agenten zu verwenden
(Optional) Identitätsbasierte Richtlinie, die es Amazon Bedrock ermöglicht, auf Dateien aus S3 zuzugreifen, um sie mit Codeinterpretation zu verwenden
Ressourcenbasierte Richtlinie, die es Amazon Bedrock ermöglicht, eine Lambda-Funktion für Aktionsgruppen aufzurufen

Vertrauensstellung

Die folgende Vertrauensrichtlinie ermöglicht es Amazon Bedrock, diese Rolle zu übernehmen und Agenten zu erstellen und zu verwalten. Ersetzen Sie die nach ${values} Bedarf. Die Richtlinie enthält optionale Bedingungsschlüssel (siehe Bedingungsschlüssel für Amazon Bedrock und AWS globale Bedingungskontextschlüssel) in dem Condition Feld, deren Verwendung wir aus Sicherheitsgründen empfehlen.

Anmerkung

Aus Sicherheitsgründen empfiehlt es sich, diese durch einen bestimmten Agenten zu ersetzen, IDs nachdem Sie sie erstellt haben. *


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "bedrock.amazonaws.com"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "${account-id}"
            },
            "ArnLike": {
                "AWS:SourceArn": "arn:aws:bedrock:${region}:${account-id}:agent/*"
            }
        }
    }]
}

Identitätsbasierte Berechtigungen für die Servicerolle „Agenten“

Fügen Sie die folgende Richtlinie bei, um Berechtigungen für die Servicerolle bereitzustellen, und ersetzen Sie ${values} sie bei Bedarf. Die Richtlinie enthält die folgenden Aussagen. Lassen Sie eine Aussage weg, wenn sie auf Ihren Anwendungsfall nicht zutrifft. Die Richtlinie enthält optionale Bedingungsschlüssel (siehe Bedingungsschlüssel für Amazon Bedrock und AWS globale Bedingungskontextschlüssel) in dem Condition Feld, deren Verwendung wir aus Sicherheitsgründen empfehlen.

Anmerkung

Wenn Sie Ihren Agenten mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsseln, finden Sie weitere Berechtigungen, Verschlüsselung von Agentenressourcen die Sie hinzufügen müssen, unter.

Berechtigungen zur Verwendung von Amazon Bedrock Foundation-Modellen zur Ausführung von Modellinferenzen anhand von Eingabeaufforderungen, die bei der Orchestrierung Ihres Agenten verwendet wurden.
Berechtigungen für den Zugriff auf die Aktionsgruppen-API-Schemas Ihres Agenten in Amazon S3. Lassen Sie diese Aussage weg, wenn Ihr Agent keine Aktionsgruppen hat.
Berechtigungen für den Zugriff auf Wissensdatenbanken, die Ihrem Agenten zugeordnet sind. Lassen Sie diese Angabe weg, wenn Ihrem Agenten keine zugehörigen Wissensdatenbanken zugeordnet sind.
Berechtigungen für den Zugriff auf Dritte (Pinecone or Redis Enterprise Cloud) Wissensdatenbank, die mit Ihrem Agenten verknüpft ist. Lassen Sie diese Angabe weg, wenn es sich bei Ihrer Wissensdatenbank um eine First-Party-Datenbank (Amazon OpenSearch Serverless oder Amazon Aurora) handelt oder wenn Ihr Agent über keine zugehörigen Wissensdatenbanken verfügt.
Berechtigungen für den Zugriff auf eine Aufforderung aus der Prompt-Verwaltung. Lassen Sie diese Aussage weg, wenn Sie nicht vorhaben, eine Aufforderung aus der Prompt-Verwaltung mit Ihrem Agenten in der Amazon Bedrock-Konsole zu testen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AgentModelInvocationPermissions",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-v2",
                "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-v2:1",
                "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-instant-v1"
            ]
        },
        {
            "Sid": "AgentActionGroupS3",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket/path/to/schema"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${account-id}"
                }
            }
        },
        {
            "Sid": "AgentKnowledgeBaseQuery",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:knowledge-base/knowledge-base-id"
            ]
        },
        {
            "Sid": "Agent3PKnowledgeBase",
            "Effect": "Allow",
            "Action": [
                "bedrock:AssociateThirdPartyKnowledgeBase",
            ],
            "Resource": "arn:aws:bedrock:${region}:${account-id}:knowledge-base/knowledge-base-id",
            "Condition": { 
                "StringEquals" : { 
                    "bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:kms:${region}:${account-id}:key/${key-id}"
                }
            }
        },
        {
            "Sid": "AgentPromptManagementConsole",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetPrompt",
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:prompt/prompt-id"
            ]
        },
    ]
}

(Optional) Identitätsbasierte Richtlinie, die es Amazon Bedrock ermöglicht, Provisioned Throughput mit Ihrem Agenten-Alias zu verwenden

Wenn Sie einen Provisioned Throughput mit einem Alias Ihres Agenten verknüpfen, fügen Sie der Servicerolle die folgende identitätsbasierte Richtlinie bei oder fügen Sie die Erklärung der Richtlinie unter hinzu. Identitätsbasierte Berechtigungen für die Servicerolle „Agenten“


{
    "Version": "2012-10-17",
    "Statement": [
      {        
        "Sid": "UsePT",
        "Effect": "Allow",
        "Action": [
            "bedrock:InvokeModel", 
            "bedrock:GetProvisionedModelThroughput"
        ],
        "Resource": [
            "arn:aws:bedrock:{${region}}:{${account-id}}:${provisioned-model-id}"
        ]
      }
    ]
}

(Optional) Identitätsbasierte Richtlinie, die es Amazon Bedrock ermöglicht, Guardrails mit Ihrem Agenten zu verwenden

Wenn Sie Ihrem Agenten eine Leitplanke zuordnen, fügen Sie der Servicerolle die folgende identitätsbasierte Richtlinie bei oder fügen Sie die Erklärung der Richtlinie unter hinzu. Identitätsbasierte Berechtigungen für die Servicerolle „Agenten“


{
    "Version": "2012-10-17",
    "Statement": [
        {  
            "Sid": "ApplyGuardrail",
            "Effect": "Allow",
            "Action": "bedrock:ApplyGuardrail",
            "Resource": [
                "arn:aws:bedrock:{${region}}:{${account-id}}:guardrail/${guardrail-id}"
            ]
        }
    ]
}

(Optional) Identitätsbasierte Richtlinie, die es Amazon Bedrock ermöglicht, auf Dateien aus S3 zuzugreifen, um sie mit Codeinterpretation zu verwenden

Wenn Sie diese Option aktivierenAktivieren Sie die Codeinterpretation in Amazon Bedrock, fügen Sie der Servicerolle die folgende identitätsbasierte Richtlinie bei oder fügen Sie die Erklärung der Richtlinie unter Identitätsbasierte Berechtigungen für die Servicerolle „Agenten“ hinzu.


{
  "Version": "2012-10-17",
  "Statement": [
      {       
        "Sid": "AmazonBedrockAgentFileAccess", 
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:GetObjectVersionAttributes",
            "s3:GetObjectAttributes"
        ],
        "Resource": [
            "arn:aws:s3:::[[customerProvidedS3BucketWithKey]]"
        ]
      }
    ]
}

Ressourcenbasierte Richtlinie, die es Amazon Bedrock ermöglicht, eine Lambda-Funktion für Aktionsgruppen aufzurufen

Folgen Sie den Schritten unter Verwenden von ressourcenbasierten Richtlinien für Lambda und hängen Sie die folgende ressourcenbasierte Richtlinie an eine Lambda-Funktion an, damit Amazon Bedrock auf die Lambda-Funktion für die Aktionsgruppen Ihres Agenten zugreifen kann, und ersetzen Sie diese nach Bedarf. ${values} Die Richtlinie enthält optionale Bedingungsschlüssel (siehe Bedingungsschlüssel für Amazon Bedrock und AWS globale Bedingungskontextschlüssel) in dem Condition Feld, deren Verwendung wir aus Sicherheitsgründen empfehlen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AccessLambdaFunction",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "lambda:InvokeFunction",
            "Resource":  "arn:aws:lambda:${region}:${account-id}:function:function-name",
            "Condition": {
                "StringEquals": {
                    "AWS:SourceAccount": "${account-id}"
                },
                "ArnLike": {
                    "AWS:SourceArn": "arn:aws:bedrock:${region}:${account-id}:agent/${agent-id}"
                }
            }
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Servicerolle für Modellimport

Servicerolle für die Wissensdatenbank