Conditions préalables à une gestion rapide

Si la politique AmazonBedrockFullAccess AWS gérée est attachée à votre rôle, vous pouvez ignorer cette section. Sinon, suivez les étapes décrites dans Mettre à jour la politique d'autorisations pour un rôle et associez la politique suivante à un rôle afin de fournir les autorisations nécessaires pour effectuer des actions liées à la gestion des invites :

{ 
    "Version": "2012-10-17",
    "Statement": [
        {
           "Sid": "PromptManagementPermissions",
           "Effect": "Allow",
           "Action": [
               "bedrock:CreatePrompt",
               "bedrock:UpdatePrompt",
               "bedrock:GetPrompt",
               "bedrock:ListPrompts",
               "bedrock:DeletePrompt",
               "bedrock:CreatePromptVersion",
               "bedrock:OptimizePrompt",
               "bedrock:GetFoundationModel",
               "bedrock:ListFoundationModels",
               "bedrock:GetInferenceProfile",
               "bedrock:ListInferenceProfiles",
               "bedrock:InvokeModel",
               "bedrock:InvokeModelWithResponseStream",
               "bedrock:RenderPrompt",
               "bedrock:TagResource",
               "bedrock:UntagResource",
               "bedrock:ListTagsForResource"
           ],
           "Resource": *
        }
    ]
}

Pour restreindre davantage les autorisations, vous pouvez omettre des actions ou spécifier des ressources et des clés de condition permettant de filtrer les autorisations. Pour plus d'informations sur les actions, les ressources et les clés de condition, consultez les rubriques suivantes dans la référence d'autorisation de service :

Si vous envisagez de chiffrer votre invite à l'aide d'une clé gérée par le client plutôt que d'utiliser une Clé gérée par AWS (pour plus d'informations, voir AWS KMS clés), créez les politiques suivantes :

1. Suivez les étapes décrites dans la section Création d'une politique clé et associez la politique clé suivante à une KMS clé pour permettre à Amazon Bedrock de chiffrer et de déchiffrer une invite à l'aide de la clé, en remplaçant la values si nécessaire. La politique contient des clés de condition facultatives (voir Clés de condition pour Amazon Bedrock et clés contextuelles de condition AWS globale) dans le Condition champ que nous vous recommandons d'utiliser comme bonne pratique de sécurité.

   {
       "Sid": "EncryptFlowKMS",
       "Effect": "Allow",
       "Principal": {
           "Service": "bedrock.amazonaws.com"
       },
       "Action": [
           "kms:GenerateDataKey",
           "kms:Decrypt"
       ],
       "Resource": "*",
       "Condition": {
           "StringEquals": {
               "kms:EncryptionContext:aws:bedrock-prompts:arn": "arn:${partition}:bedrock:${region}:${account-id}:prompt/${prompt-id}"
           }
       }
   }

2. Suivez les étapes décrites dans Mettre à jour la politique d'autorisations pour un rôle et associez la politique suivante au rôle de gestion des invites, en remplaçant la values si nécessaire, pour lui permettre de générer et de déchiffrer la clé gérée par le client en cas d'invite. La politique contient des clés de condition facultatives (voir Clés de condition pour Amazon Bedrock et clés contextuelles de condition AWS globale) dans le Condition champ que nous vous recommandons d'utiliser comme bonne pratique de sécurité.

   {
       "Sid": "KMSPermissions",
       "Effect": "Allow",
       "Action": [
           "kms:GenerateDataKey",
           "kms:Decrypt"
       ],
       "Resource": [
           "arn:aws:kms:${region}:${account-id}:key/${key-id}"
       ],
        "Condition": {
           "StringEquals": {
               "aws:ResourceAccount": "${account-id}"
           }
       }
   }