Cree un rol de servicio para Amazon Bedrock Flows en Amazon Bedrock - Amazon Bedrock
Relación de confianzaPermisos basados en identidades para el rol de servicio de los flujos.Política de claves que permite a Amazon Bedrock cifrar y descifrar un flujo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cree un rol de servicio para Amazon Bedrock Flows en Amazon Bedrock

Para crear y gestionar un flujo en Amazon Bedrock, debe utilizar un rol de servicio con los permisos necesarios que se describen en esta página. Puede usar un rol de servicio que Amazon Bedrock cree automáticamente para usted en la consola o usar uno que personalice usted mismo.

nota

Si usa el rol de servicio que Amazon Bedrock crea automáticamente para usted en la consola, los permisos se asociarán de forma dinámica si usted agrega nodos al flujo y lo guarda. Sin embargo, si elimina nodos, los permisos no se eliminarán, por lo que tendrá que eliminar los permisos que ya no necesite. Para administrar los permisos del rol que se creó para usted, siga los pasos que se indican en Modificación de un rol en la Guía del IAM usuario.

Para crear un rol de servicio personalizado para Amazon Bedrock Flows, cree un IAM rol siguiendo los pasos que se indican en Crear un rol para delegar permisos a un AWS servicio. A continuación, asocie los siguientes permisos al rol.

  • Política de confianza

  • Los siguientes permisos basados en identidades:

    • Acceso a los modelos base de Amazon Bedrock que utilizará el flujo. Añada a la Resource lista todos los modelos que se utilizan en el flujo.

    • Si invoca un modelo mediante el rendimiento aprovisionado, permisos para acceder e invocar el modelo aprovisionado. Agregue a la Resource lista todos los modelos que se utilizan en el flujo.

    • Si invoca un modelo personalizado, permisos para acceder al modelo personalizado e invocarlo. Agregue a la Resource lista todos los modelos que se utilizan en el flujo.

    • Permisos basados en los nodos que añada al flujo:

      • Si incluye nodos de solicitud que utilizan solicitudes de la administración de solicitudes, necesitará permisos para acceder a las solicitudes. Agregue a la Resource lista todos los mensajes que se utilizan en el flujo.

      • Si incluye nodos de la base de conocimientos, necesitará permisos para consultarla. Agregue a la Resource lista todas las bases de conocimientos consultadas en el flujo.

      • Si incluye nodos de agente, necesitará permisos para invocar un alias del agente. Añada a la Resource lista todos los agentes que se invoquen en el flujo.

      • Si incluye nodos de recuperación de S3, necesitará permisos para acceder al bucket de Amazon S3 desde el que se recuperarán los datos. Agregue a la lista Resource cada bucket del que se obtengan datos.

      • Si incluye nodos de almacenamiento S3, necesitará permisos para escribir en el bucket de Amazon S3 en el que se almacenarán los datos de salida. Agregue a la lista Resource cada bucket en el que se escriben datos.

      • Si incluye barandas para un nodo de la base de conocimientos o un nodo de línea, necesitará permisos para aplicar las barandillas en un flujo. Añada a la lista cada barandilla que se utilice en el flujo. Resource

      • Si incluye nodos Lambda, necesitará permisos para invocar la función Lambda. Añada a la lista todas las funciones de Lambda que deban invocarse. Resource

      • Si incluye nodos de Amazon Lex, necesitará permisos para usar el bot Amazon Lex. Añada a la Resource lista todos los alias de bots que desee utilizar.

      • Si has cifrado algún recurso invocado en un flujo, necesitas permisos para descifrar la clave. Agregue cada clave a la lista Resource.

  • Si cifra el flujo, también debe adjuntar una política de claves a la KMS clave que utilice para cifrar el flujo.

nota

Recientemente se implementaron los siguientes cambios:

  • Anteriormente, AWS Lambda los recursos de Amazon Lex se invocaban mediante el servicio principal de Amazon Bedrock. Este comportamiento está cambiando para los flujos creados después del 22 de noviembre de 2024 y la función de servicio Amazon Bedrock Flows se utilizará para invocar los recursos y AWS Lambda los de Amazon Lex. Si creó algún flujo que utilice alguno de estos recursos antes del 22 de noviembre de 2020, debe actualizar sus funciones de servicio de Amazon Bedrock Flows con los permisos de Amazon AWS Lambda Lex.

  • Anteriormente, los recursos de Prompt Management se renderizaban mediante esta acción. bedrock:GetPrompt Este comportamiento está cambiando en los flujos creados después del 22 de noviembre de 2024 y la bedrock:RenderPrompt acción se utilizará para renderizar el recurso de solicitud. Si creó algún flujo que utilice un recurso rápido antes del 22 de noviembre de 2021, debe actualizar sus funciones de servicio de Amazon Bedrock Flows con permisos. bedrock:RenderPrompt

Si utiliza un rol de servicio que Amazon Bedrock creó automáticamente para usted en la consola, Amazon Bedrock adjuntará los permisos corregidos de forma dinámica cuando guarde el flujo.

Relación de confianza

Adjunte la siguiente política de confianza a la función de ejecución del flujo para permitir que Amazon Bedrock asuma esta función y administre un flujo. Sustituya el values que sea necesario. La política contiene claves de condición opcionales (consulte Claves de condición para Amazon Bedrock y Claves de contexto de condición globales de AWS) en el campo Condition que es una práctica de seguridad que recomendamos.

nota

Como práctica recomendada, sustituya el * por un identificador de flujo después de haberlo creado.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "FlowsTrustBedrock",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "${account-id}"
                },
                "ArnLike": {
                    "AWS:SourceArn": "arn:aws:bedrock:${region}:${account-id}:flow/*"
                }
            }
        }
    ]
}

Permisos basados en identidades para el rol de servicio de los flujos.

Adjunte la siguiente política para proporcionar permisos para el rol de servicio y sustitúyala values según sea necesario. La política contiene las siguientes instrucciones. Omita una instrucción si no es aplicable a su caso de uso. La política contiene claves de condición opcionales (consulte Claves de condición para Amazon Bedrock y Claves de contexto de condición globales de AWS) en el campo Condition que es una práctica de seguridad que recomendamos.

  • Acceso a los modelos base de Amazon Bedrock que utilizará el flujo. Añada a la Resource lista todos los modelos que se utilizan en el flujo.

  • Si invoca un modelo mediante el rendimiento aprovisionado, permisos para acceder e invocar el modelo aprovisionado. Agregue a la Resource lista todos los modelos que se utilizan en el flujo.

  • Si invoca un modelo personalizado, permisos para acceder al modelo personalizado e invocarlo. Agregue a la Resource lista todos los modelos que se utilizan en el flujo.

  • Permisos basados en los nodos que añada al flujo:

    • Si incluye nodos de solicitud que utilizan solicitudes de la administración de solicitudes, necesitará permisos para acceder a las solicitudes. Agregue a la Resource lista todos los mensajes que se utilizan en el flujo.

    • Si incluye nodos de la base de conocimientos, necesitará permisos para consultarla. Agregue a la Resource lista todas las bases de conocimientos consultadas en el flujo.

    • Si incluye nodos de agente, necesitará permisos para invocar un alias del agente. Añada a la Resource lista todos los agentes que se invoquen en el flujo.

    • Si incluye nodos de recuperación de S3, necesitará permisos para acceder al bucket de Amazon S3 desde el que se recuperarán los datos. Agregue a la lista Resource cada bucket del que se obtengan datos.

    • Si incluye nodos de almacenamiento S3, necesitará permisos para escribir en el bucket de Amazon S3 en el que se almacenarán los datos de salida. Agregue a la lista Resource cada bucket en el que se escriben datos.

    • Si incluye barandas para un nodo de la base de conocimientos o un nodo de línea, necesitará permisos para aplicar las barandillas en un flujo. Añada a la lista cada barandilla que se utilice en el flujo. Resource

    • Si incluye nodos Lambda, necesitará permisos para invocar la función Lambda. Añada a la lista todas las funciones de Lambda que deban invocarse. Resource

    • Si incluye nodos de Amazon Lex, necesitará permisos para usar el bot Amazon Lex. Añada a la Resource lista todos los alias de bots que desee utilizar.

    • Si has cifrado algún recurso invocado en un flujo, necesitas permisos para descifrar la clave. Agregue cada clave a la lista Resource.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InvokeModel",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}::foundation-model/${model-id}"
            ]
        },
        {
            "Sid": "InvokeProvisionedThroughput",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:GetProvisionedModelThroughput"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:provisioned-model/${model-id}"
            ]
        },
        {
            "Sid": "InvokeCustomModel",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:GetCustomModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:custom-model/${model-id}"
            ]
        },
        {
            "Sid": "UsePromptFromPromptManagement",
            "Effect": "Allow",
            "Action": [
                "bedrock:RenderPrompt"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:prompt/${prompt-id}"
            ]
        },
        {
            "Sid": "QueryKnowledgeBase",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:knowledge-base/knowledge-base-id"
            ]
        },
        {
            "Sid": "InvokeAgent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:agent-alias/${agent-alias-id}"
            ]
        },
        {
            "Sid": "AccessS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::${bucket-name}/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${account-id}"
                }
            }
        },
        {
            "Sid": "WriteToS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::${bucket-name}",
                "arn:aws:s3:::${bucket-name}/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${account-id}"
                }
            }
        },
        {
            "Sid": "GuardrailPermissions",
            "Effect": "Allow",
            "Action": "Action": [
                "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:${Partition}:bedrock:${Region}:${Account}:guardrail/${GuardrailId}"
            ]
        },
        {
            "Sid": "LambdaPermissions",
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:${region}:${account-id}:function:${function-name}"
            ]
        },
        {
            "Sid": "AmazonLexPermissions",
            "Effect": "Allow",
            "Action": [
                "lex:RecognizeUtterance"
            ],
            "Resource": [ 
                "arn:aws:lex:${region}:${account-id}:bot-alias/${bot-id}/${bot-alias-id}"
            ]
        },
        {
            "Sid": "KMSPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:${region}:${account-id}:key/${key-id}"
            ],
             "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${account-id}"
                }
            }
        }
    ]
}

Política de claves que permite a Amazon Bedrock cifrar y descifrar un flujo

Siga los pasos que se indican en Crear una política de claves y adjunte la siguiente política de claves a una KMS clave para permitir que Amazon Bedrock cifre y descifre un flujo con la clave, sustituyendo la values que sea necesario. La política contiene claves de condición opcionales (consulte Claves de condición para Amazon Bedrock y Claves de contexto de condición globales de AWS) en el campo Condition que es una práctica de seguridad que recomendamos.

{
    "Sid": "EncryptFlowKMS",
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:${partition}:bedrock:${region}:${account-id}:flow/${flow-id}"
        }
    }
}