Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas basadas en la identidad para los agentes de Amazon Bedrock
Seleccione un tema para ver ejemplos de IAM políticas que puede adjuntar a un IAM rol para conceder permisos para realizar acciones. Automatice las tareas en su aplicación mediante agentes conversacionales
Temas
Permisos necesarios para los agentes de Amazon Bedrock
Para que una IAM identidad utilice Amazon Bedrock Agents, debe configurarla con los permisos necesarios. Puede adjuntar la AmazonBedrockFullAccesspolítica para conceder los permisos adecuados al rol.
Para restringir los permisos únicamente a las acciones que se utilizan en Amazon Bedrock Agents, adjunte la siguiente política basada en la identidad a un rol: IAM
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Amazon Bedrock Agents permissions", "Effect": "Allow", "Action": [ "bedrock:ListFoundationModels", "bedrock:GetFoundationModel", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource", "bedrock:CreateAgent", "bedrock:UpdateAgent", "bedrock:GetAgent", "bedrock:ListAgents", "bedrock:DeleteAgent", "bedrock:CreateAgentActionGroup", "bedrock:UpdateAgentActionGroup", "bedrock:GetAgentActionGroup", "bedrock:ListAgentActionGroups", "bedrock:DeleteAgentActionGroup", "bedrock:GetAgentVersion", "bedrock:ListAgentVersions", "bedrock:DeleteAgentVersion", "bedrock:CreateAgentAlias", "bedrock:UpdateAgentAlias", "bedrock:GetAgentAlias", "bedrock:ListAgentAliases", "bedrock:DeleteAgentAlias", "bedrock:AssociateAgentKnowledgeBase", "bedrock:DisassociateAgentKnowledgeBase", "bedrock:GetKnowledgeBase", "bedrock:ListKnowledgeBases", "bedrock:PrepareAgent", "bedrock:InvokeAgent" ], "Resource": "*" } ] }
Puede restringir aún más los permisos omitiendo acciones o especificando los recursos y las claves de condición. Una IAM identidad puede realizar API operaciones en recursos específicos. Por ejemplo, el UpdateAgentla operación solo se puede utilizar en los recursos del agente y en InvokeAgentla operación solo se puede usar en los recursos de alias. Para API operaciones que no se utilizan en un tipo de recurso específico (como CreateAgent), especifique * comoResource
. Si especificas una API operación que no se puede usar en el recurso especificado en la política, Amazon Bedrock devuelve un error.
Permita a los usuarios ver información sobre un agente e invocarlo
El siguiente es un ejemplo de política que puede adjuntar a un IAM rol para que pueda ver información sobre un agente o editarlo con su ID AGENT12345
y para interactuar con su alias con el ID ALIAS12345
. Por ejemplo, puede adjuntar esta política a un rol para el que desee que solo tenga permisos para solucionar problemas de un agente y actualizarlo.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "
Get information about and update an agent
", "Effect": "Allow", "Action": [ "bedrock:GetAgent", "bedrock:UpdateAgent" ], "Resource": "arn:aws:bedrock:aws-region
:111122223333
:agent/AGENT12345
" }, { "Sid": "Invoke an agent
", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent" ], "Resource": "arn:aws:bedrock:aws-region
:111122223333
:agent-alias/AGENT12345
/ALIAS12345
" }, ] }