Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Permisos de reclasificación en Amazon Bedrock
<a name="rerank-prereq"></a>

Un usuario requiere los siguientes permisos para utilizar la reclasificación:
+ Acceso a los modelos de reclasificación que tiene previsto usar Para obtener más información, consulte [Acceso a los modelos fundacionales de Amazon Bedrock](model-access.md).
+ Permisos para su rol y, si tiene previsto utilizar la reclasificación en un flujo de trabajo de [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html), permisos para el rol de servicio de Bases de conocimiento de Amazon Bedrock que tenga una [relación de confianza](kb-permissions.md#kb-permissions-trust) con su rol
**sugerencia**  
Para configurar los permisos necesarios de forma rápida, puede realizar lo siguiente:  
Adjunte la política [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)AWSgestionada al rol de usuario. Para obtener más información sobre cómo asociar una política a un rol de IAM, consulte [Adición y eliminación de permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
Utilice la consola de Amazon Bedrock para crear un rol de servicio de Bases de conocimiento de Amazon Bedrock al [crear una base de conocimiento](knowledge-base-create.md). Si ya tiene un rol de servicio de Bases de conocimiento de Amazon Bedrock que la consola creó para usted, puede usar la consola para actualizarlo cuando [recupere los orígenes](kb-test-retrieve.md) en la consola.
**importante**  
Cuando utilice la reclasificación en un flujo de trabajo `Retrieve` con un rol de servicio de Bases de conocimiento de Amazon Bedrock, tenga en cuenta lo siguiente:  
Si edita manualmente la política AWS Identity and Access Management (IAM) que Amazon Bedrock creó para su función de servicio de base de conocimientos, es posible que se produzcan errores al intentar actualizar los permisos en. Consola de administración de AWS Para resolver este problema, en la consola de IAM, elimine la versión de la política que creó manualmente. A continuación, actualice la página del reclasificador en la consola de Amazon Bedrock y vuelva a intentarlo.
Si utiliza un rol personalizado, Amazon Bedrock no podrá actualizar el rol del servicio de la base de conocimiento en su nombre. Asegúrese de que los permisos estén configurados de forma adecuada para el rol de servicio.

  Para obtener un resumen de los casos de uso y los permisos necesarios para ellos, consulte la siguiente tabla:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/bedrock/latest/userguide/rerank-prereq.html)

Para ver políticas de permisos de ejemplo que puede asociar a un rol de IAM, amplíe la sección que se corresponda con su caso de uso:

## Política de permisos para utilizar un modelo de reclasificación de forma independiente
<a name="rerank-permissions-rerank"></a>

Para usar [Rerank](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Rerank.html) con una lista de orígenes, el rol de usuario necesita permisos para usar las acciones `bedrock:Rerank` y `bedrock:InvokeModel`. Del mismo modo, para evitar el uso de un modelo de reclasificación, debe denegar los permisos para ambas acciones. Para permitir que el rol de usuario utilice un modelo de reclasificación de forma independiente, puede asociar la siguiente política al rol:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/model-id"
            ]
        }
    ]
}
```

------

En la política anterior, para la acción `bedrock:InvokeModel`, debe limitar los permisos a los modelos que desee permitir que el rol utilice para la reclasificación. Para permitir el acceso a todos los modelos, utilice un comodín () *\$1* en el campo. `Resource`

## Políticas de permisos para usar un modelo de reclasificación en un flujo de trabajo Retrieve
<a name="rerank-permissions-retrieve"></a>

Para usar la reclasificación al recuperar los datos de una base de conocimiento, debe configurar los siguientes permisos:

**Para el rol de usuario**

El rol de usuario necesita permisos para usar la acción `bedrock:Retrieve`. Para permitir que el rol de usuario recupere datos de una base de conocimiento, puede asociar la siguiente política al rol:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
            ]
        }
    ]
}
```

------

En la política anterior, para la acción `bedrock:Retrieve`, debe limitar los permisos a las bases de conocimiento desde las que desea permitir que el rol recupere información. Para permitir el acceso a todas las bases de conocimiento, puede utilizar un comodín (*\$1*) en el `Resource` campo.

**Para el rol de servicio**

El [rol de servicio de Bases de conocimiento de Amazon Bedrock](kb-permissions.md) que utiliza el usuario necesita permisos para usar las acciones `bedrock:Rerank` y `bedrock:InvokeModel`. Puede utilizar la consola de Amazon Bedrock para configurar automáticamente los permisos para su rol de servicio cuando elija un modelo de reclasificación al [configurar la recuperación de la base de conocimiento](kb-test-retrieve.md). De lo contrario, para permitir que el rol de servicio reclasifique los orígenes durante la recuperación, puede asociar la siguiente política:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId"
        }
    ]
}
```

------

En la política anterior, para la acción `bedrock:InvokeModel`, debe limitar los permisos a los modelos que desee permitir que el rol utilice para la reclasificación. Para permitir el acceso a todos los modelos, utilice un comodín (\$1) en el campo `Resource`.

## Política de permisos para usar un modelo de reclasificación en un flujo de trabajo RetrieveAndGenerate
<a name="rerank-permissions-retrieve-and-generate"></a>

Para utilizar un modelo reclasificador al recuperar datos de una base de conocimiento y, posteriormente, generar respuestas en función de los resultados recuperados, el rol de usuario necesita permisos para usar las acciones `bedrock:RetrieveAndGenerate`, `bedrock:Rerank` y `bedrock:InvokeModel`. Para poder reclasificar los orígenes durante la recuperación y generar respuestas en función de los resultados, puede asociar la siguiente política al rol de usuario:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankRetrieveAndGenerateSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/GenerationModelId}"
            ]
        }
    ]
}
```

------

En la política anterior, para la operación `bedrock:InvokeModel`, debe limitar los permisos a los modelos que desea permitir que el rol utilice para la reclasificación y a los modelos que desea permitir que el rol utilice para generar respuestas. Para permitir el acceso a todos los modelos, puede utilizar un comodín (*\$1*) en el campo. `Resource`

Para restringir aún más los permisos, puede omitir acciones o puede especificar recursos y claves de condición para filtrar los permisos. Para obtener más información sobre las acciones, los recursos y las claves de condición, consulte los siguientes temas en la *Referencia de autorizaciones de servicio*:
+ [Acciones definidas por Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions): obtenga información sobre las acciones, los tipos de recursos a los que puede aplicarlas en el campo `Resource` y las claves de condición que puede usar para filtrar los permisos en el campo `Condition`.
+ [Tipos de recursos definidos por Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies): obtenga información sobre los tipos de recursos de Amazon Bedrock.
+ [Claves de condición de Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys): obtenga información sobre las claves de condición de Amazon Bedrock.