Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für identitätsbasierte Richtlinien für Agents for Amazon Bedrock
Wählen Sie ein Thema aus, um Beispiele für IAM-Richtlinien zu sehen, die Sie an eine IAM-Rolle anhängen können, um Berechtigungen für Aktionen bereitzustellen. Agents für Amazon Bedrock
Themen
Erforderliche Berechtigungen für Agenten für Amazon Bedrock
Damit eine IAM-Identität Agents for Amazon Bedrock verwenden kann, müssen Sie sie mit den erforderlichen Berechtigungen konfigurieren. Sie können die AmazonBedrockFullAccessRichtlinie anhängen, um der Rolle die entsprechenden Berechtigungen zu erteilen.
Um Berechtigungen nur auf Aktionen zu beschränken, die in Agents for Amazon Bedrock verwendet werden, fügen Sie einer IAM-Rolle die folgende identitätsbasierte Richtlinie hinzu:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Agents for Amazon Bedrock permissions", "Effect": "Allow", "Action": [ "bedrock:ListFoundationModels", "bedrock:GetFoundationModel", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource", "bedrock:CreateAgent", "bedrock:UpdateAgent", "bedrock:GetAgent", "bedrock:ListAgents", "bedrock:DeleteAgent", "bedrock:CreateAgentActionGroup", "bedrock:UpdateAgentActionGroup", "bedrock:GetAgentActionGroup", "bedrock:ListAgentActionGroups", "bedrock:DeleteAgentActionGroup", "bedrock:GetAgentVersion", "bedrock:ListAgentVersions", "bedrock:DeleteAgentVersion", "bedrock:CreateAgentAlias", "bedrock:UpdateAgentAlias", "bedrock:GetAgentAlias", "bedrock:ListAgentAliases", "bedrock:DeleteAgentAlias", "bedrock:AssociateAgentKnowledgeBase", "bedrock:DisassociateAgentKnowledgeBase", "bedrock:GetKnowledgeBase", "bedrock:ListKnowledgeBases", "bedrock:PrepareAgent", "bedrock:InvokeAgent" ], "Resource": "*" } ] }
Sie können Berechtigungen weiter einschränken, indem Sie Aktionen weglassen oder Ressourcen und Bedingungsschlüssel angeben. Eine IAM-Identität kann API-Operationen für bestimmte Ressourcen aufrufen. Beispielsweise kann der UpdateAgentVorgang nur für Agentenressourcen und der InvokeAgentVorgang nur für Aliasressourcen verwendet werden. Geben Sie für API-Operationen, die nicht für einen bestimmten Ressourcentyp (z. B. CreateAgent) verwendet werden, * alsResource. Wenn Sie einen API-Vorgang angeben, der nicht für die in der Richtlinie angegebene Ressource verwendet werden kann, gibt Amazon Bedrock einen Fehler zurück.
Erlaubt Benutzern, Informationen über einen Agenten einzusehen und ihn aufzurufen
Im Folgenden finden Sie eine Beispielrichtlinie, die Sie einer IAM-Rolle zuordnen können, damit sie Informationen über einen Agenten mit der ID Sie könnten diese Richtlinie beispielsweise einer Rolle zuordnen, der Sie nur die Rechte zur Fehlerbehebung und Aktualisierung des Agenten zuweisen möchten.AGENT12345 anzeigen oder bearbeiten und mit seinem Alias mit der ID ALIAS12345 interagieren kann.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Get information about and update an agent", "Effect": "Allow", "Action": [ "bedrock:GetAgent", "bedrock:UpdateAgent" ], "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345" }, { "Sid": "Invoke an agent", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent" ], "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345" }, ] }
