Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Configurer un moteur de requêtes pour votre magasin de données structurées dans les bases de connaissances Amazon Bedrock

RSS
Mode de mise au point
Configurer un moteur de requêtes pour votre magasin de données structurées dans les bases de connaissances Amazon Bedrock - Amazon Bedrock
Création d'un moteur de requêtes Amazon Redshift provisionné ou sans serveurConfigurer les autorisations pour accéder à un moteur de requêtes Amazon Redshift

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les bases de connaissances Amazon Bedrock utilisent Amazon Redshift comme moteur de requêtes pour interroger votre magasin de données. Un moteur de requête accède aux métadonnées depuis un magasin de données structuré et les utilise pour générer des requêtes SQL. Le tableau suivant indique les méthodes d'authentification qui peuvent être utilisées pour les différents moteurs de requête :

Méthode d'authentification Amazon Redshift provisionné Amazon Redshift sans serveur
IAM Yes Oui Yes Oui
Nom d'utilisateur de base Yes Oui No Non
AWS Secrets Manager Yes Oui Yes Oui

Les rubriques suivantes décrivent comment configurer un moteur de requête et configurer les autorisations pour que votre rôle de service Amazon Bedrock Knowledge Bases puisse utiliser le moteur de requête.

Création d'un moteur de requêtes Amazon Redshift provisionné ou sans serveur

Vous pouvez créer un moteur de requêtes Amazon Redshift provisionné ou sans serveur pour accéder aux métadonnées de votre magasin de données structurées. Si vous avez déjà configuré un moteur de requêtes Amazon Redshift, vous pouvez ignorer cette condition préalable. Sinon, configurez l'un des types de moteurs de requêtes suivants :

Pour configurer un moteur de requête dans Amazon Redshift, provisionné

  1. Suivez la procédure décrite à l'étape 1 : créer un exemple de cluster Amazon Redshift dans le guide de démarrage Amazon Redshift.

  2. Notez l'ID du cluster.

  3. (Facultatif) Pour plus d'informations sur les clusters provisionnés par Amazon Redshift, consultez la section relative aux clusters provisionnés Amazon Redshift dans le guide de gestion Amazon Redshift.

Pour configurer un moteur de requêtes dans Amazon Redshift Serverless

  1. Suivez uniquement la procédure de configuration décrite dans Création d'un entrepôt de données avec Amazon Redshift Serverless dans le guide de démarrage Amazon Redshift et configurez-le avec les paramètres par défaut.

  2. Notez l'ARN du groupe de travail.

  3. (Facultatif) Pour plus d'informations sur les groupes de travail sans serveur Amazon Redshift, consultez la section Groupes de travail et espaces de noms dans le guide de gestion Amazon Redshift.

Configurez des autorisations pour votre rôle de service Amazon Bedrock Knowledge Bases afin d'accéder à un moteur de requêtes Amazon Redshift

Amazon Bedrock Knowledge Bases utilise un rôle de service pour connecter les bases de connaissances aux magasins de données structurés, récupérer les données de ces magasins de données et générer des requêtes SQL en fonction des requêtes des utilisateurs et de la structure des magasins de données.

Note

Si vous envisagez d'utiliser le AWS Management Console pour créer une base de connaissances, vous pouvez ignorer cette condition préalable. La console créera un rôle de service Amazon Bedrock Knowledge Bases avec les autorisations appropriées.

Pour créer un rôle de service IAM personnalisé avec les autorisations appropriées, suivez les étapes de la section Créer un rôle pour déléguer des autorisations à un Service AWS et associer la relation de confiance définie dansRelation d'approbation.

Ajoutez ensuite des autorisations pour que votre base de connaissances puisse accéder à votre moteur de requêtes et à vos bases de données Amazon Redshift. Développez la section qui s'applique à votre cas d'utilisation :

Associez la politique suivante à votre rôle de service personnalisé pour lui permettre d'accéder à vos données et de générer des requêtes en l'utilisant :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RedshiftDataAPIStatementPermissions",
            "Effect": "Allow",
            "Action": [
                "redshift-data:GetStatementResult",
                "redshift-data:DescribeStatement",
                "redshift-data:CancelStatement"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "redshift-data:statement-owner-iam-userid": "${aws:userid}"
                }
            }
        },
        {
            "Sid": "RedshiftDataAPIExecutePermissions",
            "Effect": "Allow",
            "Action": [
                "redshift-data:ExecuteStatement"
            ],
            "Resource": [
                "arn:aws:redshift:${Region}:${Account}:cluster:${Cluster}"
            ]
        },
        {
            "Sid": "SqlWorkbenchAccess",
            "Effect": "Allow",
            "Action": [
                "sqlworkbench:GetSqlRecommendations",
                "sqlworkbench:PutSqlGenerationContext",
                "sqlworkbench:GetSqlGenerationContext",
                "sqlworkbench:DeleteSqlGenerationContext"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GenerateQueryAccess",
            "Effect": "Allow",
            "Action": [
                "bedrock:GenerateQuery"
            ],
            "Resource": "*"
        }
    ]
}

Vous devez également ajouter des autorisations pour permettre à votre rôle de service de s'authentifier auprès du moteur de requête. Développez une section pour voir les autorisations associées à cette méthode.

IAM

Pour permettre à votre rôle de service de s'authentifier auprès de votre moteur de requêtes fourni par Amazon Redshift avec IAM, associez la politique suivante à votre rôle de service personnalisé :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetCredentialsWithFederatedIAMCredentials",
            "Effect": "Allow",
            "Action": "redshift:GetClusterCredentialsWithIAM",
            "Resource": [
                "arn:aws:redshift:${region}:${account}:dbname:${cluster}/${database}"
            ]
        }
}
Database user

Pour vous authentifier en tant qu'utilisateur de base de données Amazon Redshift, associez la politique suivante au rôle de service :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetCredentialsWithClusterCredentials",
            "Effect": "Allow",
            "Action": [
                "redshift:GetClusterCredentials"
            ],
            "Resource": [
                "arn:aws:redshift:${region}:${account}:dbuser:${cluster}/${dbuser}",
                "arn:aws:redshift:${region}:${account}:dbname:${cluster}/${database}"
            ]
        }
    ]
}
AWS Secrets Manager

Pour permettre à votre rôle de service de s'authentifier auprès de votre moteur de requête fourni par Amazon Redshift à l'aide AWS Secrets Manager d'un secret, procédez comme suit :

  • Associez la politique suivante au rôle :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetSecretPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:${region}:${account}:secret:${secretName}"
            ]
        }
    ]
}

Associez la politique suivante à votre rôle de service personnalisé pour lui permettre d'accéder à vos données et de générer des requêtes en l'utilisant :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RedshiftDataAPIStatementPermissions",
            "Effect": "Allow",
            "Action": [
                "redshift-data:GetStatementResult",
                "redshift-data:DescribeStatement",
                "redshift-data:CancelStatement"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "redshift-data:statement-owner-iam-userid": "${aws:userid}"
                }
            }
        },
        {
            "Sid": "RedshiftDataAPIExecutePermissions",
            "Effect": "Allow",
            "Action": [
                "redshift-data:ExecuteStatement"
            ],
            "Resource": [
                "arn:aws:redshift:${Region}:${Account}:cluster:${Cluster}"
            ]
        },
        {
            "Sid": "SqlWorkbenchAccess",
            "Effect": "Allow",
            "Action": [
                "sqlworkbench:GetSqlRecommendations",
                "sqlworkbench:PutSqlGenerationContext",
                "sqlworkbench:GetSqlGenerationContext",
                "sqlworkbench:DeleteSqlGenerationContext"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GenerateQueryAccess",
            "Effect": "Allow",
            "Action": [
                "bedrock:GenerateQuery"
            ],
            "Resource": "*"
        }
    ]
}

Vous devez également ajouter des autorisations pour permettre à votre rôle de service de s'authentifier auprès du moteur de requête. Développez une section pour voir les autorisations associées à cette méthode.

IAM

Pour permettre à votre rôle de service de s'authentifier auprès de votre moteur de requêtes fourni par Amazon Redshift avec IAM, associez la politique suivante à votre rôle de service personnalisé :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetCredentialsWithFederatedIAMCredentials",
            "Effect": "Allow",
            "Action": "redshift:GetClusterCredentialsWithIAM",
            "Resource": [
                "arn:aws:redshift:${region}:${account}:dbname:${cluster}/${database}"
            ]
        }
}
Database user

Pour vous authentifier en tant qu'utilisateur de base de données Amazon Redshift, associez la politique suivante au rôle de service :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetCredentialsWithClusterCredentials",
            "Effect": "Allow",
            "Action": [
                "redshift:GetClusterCredentials"
            ],
            "Resource": [
                "arn:aws:redshift:${region}:${account}:dbuser:${cluster}/${dbuser}",
                "arn:aws:redshift:${region}:${account}:dbname:${cluster}/${database}"
            ]
        }
    ]
}
AWS Secrets Manager

Pour permettre à votre rôle de service de s'authentifier auprès de votre moteur de requête fourni par Amazon Redshift à l'aide AWS Secrets Manager d'un secret, procédez comme suit :

  • Associez la politique suivante au rôle :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetSecretPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:${region}:${account}:secret:${secretName}"
            ]
        }
    ]
}
anchoranchoranchor

Pour permettre à votre rôle de service de s'authentifier auprès de votre moteur de requêtes fourni par Amazon Redshift avec IAM, associez la politique suivante à votre rôle de service personnalisé :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetCredentialsWithFederatedIAMCredentials",
            "Effect": "Allow",
            "Action": "redshift:GetClusterCredentialsWithIAM",
            "Resource": [
                "arn:aws:redshift:${region}:${account}:dbname:${cluster}/${database}"
            ]
        }
}

Les autorisations à joindre dépendent de votre méthode d'authentification. Développez une section pour voir les autorisations associées à une méthode.

IAM

Pour permettre à votre rôle de service de s'authentifier auprès de votre moteur de requêtes fourni par Amazon Redshift avec IAM, associez la politique suivante à votre rôle de service personnalisé :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RedshiftServerlessGetCredentials",
            "Effect": "Allow",
            "Action": "redshift-serverless:GetCredentials",
            "Resource": [
                "arn:aws:redshift-serverless:${Region}:${Account}:workgroup:${WorkgroupId}"
            ]
        }
}
AWS Secrets Manager

Pour permettre à votre rôle de service de s'authentifier auprès de votre moteur de requête fourni par Amazon Redshift à l'aide AWS Secrets Manager d'un secret, procédez comme suit :

  • Associez la politique suivante au rôle :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetSecretPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:${region}:${account}:secret:${secretName}"
            ]
        }
    ]
}

Les autorisations à joindre dépendent de votre méthode d'authentification. Développez une section pour voir les autorisations associées à une méthode.

IAM

Pour permettre à votre rôle de service de s'authentifier auprès de votre moteur de requêtes fourni par Amazon Redshift avec IAM, associez la politique suivante à votre rôle de service personnalisé :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RedshiftServerlessGetCredentials",
            "Effect": "Allow",
            "Action": "redshift-serverless:GetCredentials",
            "Resource": [
                "arn:aws:redshift-serverless:${Region}:${Account}:workgroup:${WorkgroupId}"
            ]
        }
}
AWS Secrets Manager

Pour permettre à votre rôle de service de s'authentifier auprès de votre moteur de requête fourni par Amazon Redshift à l'aide AWS Secrets Manager d'un secret, procédez comme suit :

  • Associez la politique suivante au rôle :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetSecretPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:${region}:${account}:secret:${secretName}"
            ]
        }
    ]
}
anchoranchor

Pour permettre à votre rôle de service de s'authentifier auprès de votre moteur de requêtes fourni par Amazon Redshift avec IAM, associez la politique suivante à votre rôle de service personnalisé :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RedshiftServerlessGetCredentials",
            "Effect": "Allow",
            "Action": "redshift-serverless:GetCredentials",
            "Resource": [
                "arn:aws:redshift-serverless:${Region}:${Account}:workgroup:${WorkgroupId}"
            ]
        }
}

Sur cette page

Related resources

Amazon Bedrock Référence d'API
AWS CLI commandes pour Amazon Bedrock
SDKs et outils 

Related resources

Amazon Bedrock Référence d'API
AWS CLI commandes pour Amazon Bedrock
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.