Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wählen Sie ein Thema aus, um Beispiele für IAM-Richtlinien zu sehen, die Sie einer IAM-Rolle zuordnen können, um Berechtigungen für Aktionen bereitzustellen. Automatisieren Sie Aufgaben in Ihrer Anwendung mithilfe von KI-Agenten
Themen
Erforderliche Berechtigungen für Amazon Bedrock Agents
Damit eine IAM-Identität Amazon Bedrock Agents verwenden kann, müssen Sie sie mit den erforderlichen Berechtigungen konfigurieren. Sie können die AmazonBedrockFullAccessRichtlinie anhängen, um der Rolle die entsprechenden Berechtigungen zu erteilen.
Um Berechtigungen nur auf Aktionen zu beschränken, die in Amazon Bedrock Agents verwendet werden, fügen Sie einer IAM-Rolle die folgende identitätsbasierte Richtlinie hinzu:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Amazon Bedrock Agents permissions",
"Effect": "Allow",
"Action": [
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModel",
"bedrock:TagResource",
"bedrock:UntagResource",
"bedrock:ListTagsForResource",
"bedrock:CreateAgent",
"bedrock:UpdateAgent",
"bedrock:GetAgent",
"bedrock:ListAgents",
"bedrock:DeleteAgent",
"bedrock:CreateAgentActionGroup",
"bedrock:UpdateAgentActionGroup",
"bedrock:GetAgentActionGroup",
"bedrock:ListAgentActionGroups",
"bedrock:DeleteAgentActionGroup",
"bedrock:GetAgentVersion",
"bedrock:ListAgentVersions",
"bedrock:DeleteAgentVersion",
"bedrock:CreateAgentAlias",
"bedrock:UpdateAgentAlias",
"bedrock:GetAgentAlias",
"bedrock:ListAgentAliases",
"bedrock:DeleteAgentAlias",
"bedrock:AssociateAgentKnowledgeBase",
"bedrock:DisassociateAgentKnowledgeBase",
"bedrock:GetKnowledgeBase",
"bedrock:ListKnowledgeBases",
"bedrock:PrepareAgent",
"bedrock:InvokeAgent"
],
"Resource": "*"
}
]
}Sie können Berechtigungen weiter einschränken, indem Sie Aktionen weglassen oder Ressourcen und Bedingungsschlüssel angeben. Eine IAM-Identität kann API-Operationen für bestimmte Ressourcen aufrufen. Zum Beispiel, das UpdateAgentDer Vorgang kann nur für Agentenressourcen verwendet werden und InvokeAgentDer Vorgang kann nur für Aliasressourcen verwendet werden. Für API-Operationen, die nicht für einen bestimmten Ressourcentyp verwendet werden (z. B. CreateAgent), geben Sie * alsResource. Wenn Sie einen API-Vorgang angeben, der nicht für die in der Richtlinie angegebene Ressource verwendet werden kann, gibt Amazon Bedrock einen Fehler zurück.
Erlaubt Benutzern, Informationen über einen Agenten einzusehen und ihn aufzurufen
Im Folgenden finden Sie eine Beispielrichtlinie, die Sie an eine IAM-Rolle anhängen können, damit sie Informationen über einen Agenten mit der ID anzeigen oder bearbeiten AGENT12345 und mit seinem Alias mit der ID interagieren kann. ALIAS12345 Sie könnten diese Richtlinie beispielsweise einer Rolle zuordnen, der Sie nur die Rechte zur Fehlerbehebung und Aktualisierung des Agenten zuweisen möchten.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Get information about and update an agent",
"Effect": "Allow",
"Action": [
"bedrock:GetAgent",
"bedrock:UpdateAgent"
],
"Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345"
},
{
"Sid": "Invoke an agent",
"Effect": "Allow",
"Action": [
"bedrock:InvokeAgent"
],
"Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345"
},
]
}