Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas basadas en identidad para agentes de Amazon Bedrock
Seleccione un tema para ver ejemplos de políticas de IAM que puede adjuntar a un rol de IAM para conceder permisos para realizar acciones. Agentes para Amazon Bedrock
Temas
Permisos necesarios para los agentes de Amazon Bedrock
Para que una identidad de IAM utilice Agents for Amazon Bedrock, debe configurarla con los permisos necesarios. Puede adjuntar la AmazonBedrockFullAccesspolítica para conceder los permisos adecuados al rol.
Para restringir los permisos únicamente a las acciones que se utilizan en Agents for Amazon Bedrock, adjunte la siguiente política basada en la identidad a un rol de IAM:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Agents for Amazon Bedrock permissions", "Effect": "Allow", "Action": [ "bedrock:ListFoundationModels", "bedrock:GetFoundationModel", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource", "bedrock:CreateAgent", "bedrock:UpdateAgent", "bedrock:GetAgent", "bedrock:ListAgents", "bedrock:DeleteAgent", "bedrock:CreateAgentActionGroup", "bedrock:UpdateAgentActionGroup", "bedrock:GetAgentActionGroup", "bedrock:ListAgentActionGroups", "bedrock:DeleteAgentActionGroup", "bedrock:GetAgentVersion", "bedrock:ListAgentVersions", "bedrock:DeleteAgentVersion", "bedrock:CreateAgentAlias", "bedrock:UpdateAgentAlias", "bedrock:GetAgentAlias", "bedrock:ListAgentAliases", "bedrock:DeleteAgentAlias", "bedrock:AssociateAgentKnowledgeBase", "bedrock:DisassociateAgentKnowledgeBase", "bedrock:GetKnowledgeBase", "bedrock:ListKnowledgeBases", "bedrock:PrepareAgent", "bedrock:InvokeAgent" ], "Resource": "*" } ] }
Puede restringir aún más los permisos omitiendo acciones o especificando los recursos y las claves de condición. Una identidad de IAM puede llamar a las operaciones de la API en recursos específicos. Por ejemplo, la UpdateAgentoperación solo se puede usar en los recursos del agente y la InvokeAgentoperación solo se puede usar en los recursos de alias. Para las operaciones de API que no se utilizan en un tipo de recurso específico (por ejemplo CreateAgent), especifique * comoResource. Si especifica una operación de API que no se puede usar en el recurso especificado en la política, Amazon Bedrock devuelve un error.
Permita a los usuarios ver información sobre un agente e invocarlo
El siguiente es un ejemplo de política que puede adjuntar a un rol de IAM para que pueda ver información sobre un agente o editarlo con el ID Por ejemplo, puede adjuntar esta política a un rol para el que desee que solo tenga permisos para solucionar problemas de un agente y actualizarlo.AGENT12345 e interactuar con su alias con el ID ALIAS12345.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Get information about and update an agent", "Effect": "Allow", "Action": [ "bedrock:GetAgent", "bedrock:UpdateAgent" ], "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345" }, { "Sid": "Invoke an agent", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent" ], "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345" }, ] }
