Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d'un rôle de service pour les bases de connaissances Amazon Bedrock
Pour utiliser un rôle personnalisé pour une base de connaissances au lieu de celui créé automatiquement par Amazon Bedrock, créez un IAM rôle et associez les autorisations suivantes en suivant les étapes de la section Création d'un rôle pour déléguer des autorisations à un AWS service. N'incluez que les autorisations nécessaires pour votre propre sécurité.
-
Relation d'approbation
-
Accès aux modèles de base Amazon Bedrock
-
Accès à la source de données dans laquelle vous stockez vos données
-
(Si vous créez une base de données vectorielle dans Amazon OpenSearch Service) Accès à votre collection OpenSearch de services
-
(Si vous créez une base de données vectorielle dans Amazon Aurora) Accès à votre cluster Aurora
-
(Si vous créez une base de données vectorielle dans Pinecone or Redis Enterprise Cloud) Autorisations pour AWS Secrets Manager pour authentifier votre Pinecone or Redis Enterprise Cloud compte
-
(Facultatif) Si vous chiffrez l'une des ressources suivantes avec une KMS clé, autorisations pour déchiffrer la clé (voirChiffrement des ressources des bases de connaissances).
-
Votre base de connaissances
-
Sources de données pour votre base de connaissances
-
Votre base de données vectorielle dans Amazon OpenSearch Service
-
Le secret de votre base de données vectorielle tierce dans AWS Secrets Manager
-
Une tâche d’ingestion de données
-
Rubriques
- Relation d'approbation
- Autorisations d'accès aux modèles Amazon Bedrock
- Autorisations d'accès à vos sources de données
- Autorisations pour discuter avec votre document
- (Facultatif) Autorisations pour accéder à votre base de données vectorielle dans Amazon OpenSearch Service
- (Facultatif) Autorisations d’accès à votre cluster de bases de données Amazon Aurora
- (Facultatif) Autorisations d'accès à une base de données vectorielle configurée avec un AWS Secrets Manager secret
- (Facultatif) Autorisations pour AWS pour gérer un AWS KMS clé pour le stockage de données transitoires lors de l'ingestion de données
- (Facultatif) Autorisations pour AWS pour gérer une source de données provenant de celle d'un autre utilisateur AWS .
Relation d'approbation
La politique suivante permet à Amazon Bedrock d’endosser ce rôle, de créer des bases de connaissances et de les gérer. L'exemple suivant illustre un exemple de politique que vous pouvez utiliser. Vous pouvez restreindre la portée de l’autorisation en utilisant une ou plusieurs clés contextuelles de condition globale. Pour plus d’informations, consultez .AWS clés contextuelles de condition globale. Définissez la valeur aws:SourceAccount
sur l'ID de votre compte. Vous pouvez utiliser la condition ArnEquals
ou ArnLike
pour limiter le champ d’application à des bases de connaissances spécifiques.
Note
Pour des raisons de sécurité, remplacez le *
avec une base de connaissances spécifique IDs une fois que vous les avez créées.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
account-id
" }, "ArnLike": { "AWS:SourceArn": "arn:aws:bedrock:region
:account-id
:knowledge-base/*
" } } }] }
Autorisations d'accès aux modèles Amazon Bedrock
Associez la politique suivante pour accorder au rôle l’autorisation d’utiliser les modèles Amazon Bedrock pour intégrer vos données sources.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:ListFoundationModels", "bedrock:ListCustomModels" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:
region
::foundation-model/amazon.titan-embed-text-v1", "arn:aws:bedrock:region
::foundation-model/cohere.embed-english-v3", "arn:aws:bedrock:region
::foundation-model/cohere.embed-multilingual-v3" ] } ] }
Autorisations d'accès à vos sources de données
Sélectionnez l'une des sources de données suivantes pour associer les autorisations nécessaires au rôle.
Rubriques
Autorisations d'accès à votre source de données Amazon S3
Joignez la politique suivante pour autoriser le rôle à accéder à Amazon S3.
Si vous avez chiffré la source de données avec un AWS KMS clé, attachez des autorisations pour déchiffrer la clé du rôle en suivant les étapes décrites dansAutorisations pour déchiffrer votre AWS KMS clé pour vos sources de données dans Amazon S3.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
bucket/path/to/folder
", "arn:aws:s3:::bucket/path/to/folder
/*" ], "Condition": { "StringEquals": { "aws:PrincipalAccount": "account-id
" } } }] }
Autorisations d'accès à votre source de données Confluence
Note
Le connecteur de source de données Confluence est en version préliminaire et est sujet à modification.
Joignez la politique suivante pour autoriser le rôle à accéder à Confluence.
Note
secretsmanager:PutSecretValue
n'est nécessaire que si vous utilisez l'authentification OAuth 2.0 avec un jeton d'actualisation.
Le jeton d'accès Confluence OAuth2 2.0 a un délai d'expiration par défaut de 60 minutes. Si ce jeton expire alors que votre source de données est en cours de synchronisation (tâche de synchronisation), Amazon Bedrock utilisera le jeton d'actualisation fourni pour le régénérer. Cette régénération actualise à la fois les jetons d'accès et d'actualisation. Pour maintenir les jetons à jour entre la tâche de synchronisation en cours et la tâche de synchronisation suivante, Amazon Bedrock a besoin d'autorisations d'écriture et de saisie pour vos informations d'identification secrètes.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, }
Autorisations d'accès à votre source SharePoint de données Microsoft
Note
SharePoint le connecteur de source de données est en version préliminaire et est sujet à modification.
Joignez la politique suivante pour fournir des autorisations d'accès au rôle SharePoint.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, }
Autorisations d'accès à votre source de données Salesforce
Note
Le connecteur de source de données Salesforce est en version préliminaire et est sujet à modification.
Joignez la politique suivante pour autoriser le rôle à accéder à Salesforce.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, }
Autorisations pour discuter avec votre document
Joignez la politique suivante pour autoriser le rôle à utiliser les modèles Amazon Bedrock pour discuter avec votre document :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:RetrieveAndGenerate" ], "Resource": "*" } ] }
Si vous souhaitez uniquement autoriser un utilisateur à discuter avec votre document (et non à accéder à toutes RetrieveAndGenerate
les bases de connaissances), appliquez la politique suivante :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:RetrieveAndGenerate" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "bedrock:Retrieve" ], "Resource": "*" } ] }
Si vous souhaitez à la fois discuter avec votre document et l'utiliser RetrieveAndGenerate
sur une base de connaissances spécifique, fournissez insert KB ARN
, et appliquez la politique suivante :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:RetrieveAndGenerate" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "bedrock:Retrieve" ], "Resource":
insert KB ARN
} ] }
(Facultatif) Autorisations pour accéder à votre base de données vectorielle dans Amazon OpenSearch Service
Si vous avez créé une base de données vectorielle dans Amazon OpenSearch Service pour votre base de connaissances, associez la politique suivante à votre rôle de service Amazon Bedrock Knowledge Bases pour autoriser l'accès à la collection. Remplacez region
and account-id
avec la région et l'ID de compte auxquels appartient la base de données. Entrez l'ID de votre collection Amazon OpenSearch Service dans collection-id
. Vous pouvez autoriser l'accès à plusieurs collections en les ajoutant à la Resource
liste.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "aoss:APIAccessAll" ], "Resource": [ "arn:aws:aoss:
region
:account-id
:collection/collection-id
" ] }] }
(Facultatif) Autorisations d’accès à votre cluster de bases de données Amazon Aurora
Si vous avez créé un cluster de base de données (DB) dans Amazon Aurora pour votre base de connaissances, associez la politique suivante à votre rôle de service Amazon Bedrock Knowledge Bases afin d'autoriser l'accès au cluster de base de données et de fournir des autorisations de lecture et d'écriture sur celui-ci. Remplacez region
and account-id
avec la région et l'ID de compte auxquels appartient le cluster de base de données. Entrez l'ID de votre cluster de base de données Amazon Aurora dans db-cluster-id
. Vous pouvez autoriser l'accès à plusieurs clusters de bases de données en les ajoutant à la Resource
liste.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "
RdsDescribeStatementID
", "Effect": "Allow", "Action": [ "rds:DescribeDBClusters" ], "Resource": [ "arn:aws:rds:region
:account-id
:cluster:db-cluster-id
" ] }, { "Sid": "DataAPIStatementID", "Effect": "Allow", "Action": [ "rds-data:BatchExecuteStatement", "rds-data:ExecuteStatement" ], "Resource": [ "arn:aws:rds:region
:account-id
:cluster:db-cluster-id
" ] }] }
(Facultatif) Autorisations d'accès à une base de données vectorielle configurée avec un AWS Secrets Manager secret
Si votre base de données vectorielle est configurée avec un AWS Secrets Manager secret, associez la politique suivante à votre rôle de service Amazon Bedrock Knowledge Bases pour autoriser AWS Secrets Manager pour authentifier votre compte afin d'accéder à la base de données. Remplacez region
and account-id
avec la région et l'ID de compte auxquels appartient la base de données. Remplacez secret-id
avec l'identifiant de votre secret.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:
region
:account-id
:secret:secret-id
" ] }] }
Si vous avez chiffré votre secret avec un AWS KMS clé, attachez des autorisations pour déchiffrer la clé du rôle en suivant les étapes décrites dansAutorisations permettant de déchiffrer un AWS Secrets Manager secret pour le magasin de vecteurs contenant votre base de connaissances.
(Facultatif) Autorisations pour AWS pour gérer un AWS KMS clé pour le stockage de données transitoires lors de l'ingestion de données
Pour permettre la création d'un AWS KMS clé pour le stockage temporaire des données lors du processus d'ingestion de votre source de données, associez la politique suivante à votre rôle de service Amazon Bedrock Knowledge Bases. Remplacez le region
, account-id
, et key-id
avec les valeurs appropriées.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
region
:account-id
:key/key-id
" ] } ] }
(Facultatif) Autorisations pour AWS pour gérer une source de données provenant de celle d'un autre utilisateur AWS .
Pour autoriser l'accès à un autre utilisateur AWS compte, vous devez créer un rôle qui autorise l'accès entre comptes à un compartiment Amazon S3 dans le compte d'un autre utilisateur. Remplacez le bucketName
, bucketOwnerAccountId
, et bucketNameAndPrefix
avec les valeurs appropriées.
Autorisations requises pour le rôle de base de connaissances
Le rôle de base de connaissances fourni lors de la création de la base de connaissances createKnowledgeBase
nécessite les autorisations Amazon S3 suivantes.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "S3ListBucketStatement", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
bucketName
" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "bucketOwnerAccountId
" } } },{ "Sid": "S3GetObjectStatement", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketNameAndPrefix
/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "bucketOwnerAccountId
" } }] }
Si le compartiment Amazon S3 est chiffré à l'aide d'un AWS KMS clé, les éléments suivants doivent également être ajoutés au rôle de base de connaissances. Remplacez le bucketOwnerAccountId
and region
avec les valeurs appropriées.
{ "Sid": "KmsDecryptStatement", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
region
:bucketOwnerAccountId
:key/keyId" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.region
.amazonaws.com" ] } } }
Autorisations requises dans le cadre d'une politique de compartiment Amazon S3 entre comptes
Le compartiment de l'autre compte nécessite la politique de compartiment Amazon S3 suivante. Remplacez le kbRoleArn
,
bucketName
, et bucketNameAndPrefix
avec les valeurs appropriées.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Example ListBucket permissions", "Effect": "Allow", "Principal": { "AWS": "
kbRoleArn
" }, "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucketName
" ] }, { "Sid": "Example GetObject permissions", "Effect": "Allow", "Principal": { "AWS": "kbRoleArn
" }, "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketNameAndPrefix
/*" ] } ] }
Autorisations requises pour les comptes multiples AWS KMS politique clé
Si le compartiment Amazon S3 entre comptes est chiffré à l'aide d'un AWS KMS clé dans ce compte, la politique du AWS KMS La clé nécessite la politique suivante. Remplacez le kbRoleArn
and kmsKeyArn
avec les valeurs appropriées.
{ "Sid": "Example policy", "Effect": "Allow", "Principal": { "AWS": [ "
kbRoleArn
" ] }, "Action": [ "kms:Decrypt" ], "Resource": "kmsKeyArn
" }