Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Autorisations pour le reclassement dans Amazon Bedrock
Les utilisateurs doivent disposer des autorisations suivantes pour pouvoir utiliser le reclassement :
+ Accès aux modèles de reclassement qu’ils prévoient d’utiliser. Pour de plus amples informations, veuillez consulter [Demander l'accès aux modèles](model-access.md). Pour les modèles tiers (tels que Cohere Rde), votre rôle IAM a également besoin `aws-marketplace:ViewSubscriptions` d'autorisations et d'autorisations. `aws-marketplace:Subscribe` Pour plus d'informations, voir [Utiliser les clés de condition d'identification du produit pour contrôler l'accès](model-access-product-ids.md).
+ Les autorisations pour leur rôle et, s’ils prévoient d’utiliser le reclassement dans un flux de travail [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html), les autorisations pour le rôle de service Amazon Bedrock Knowledge Bases bénéficiant d’une [relation de confiance](kb-permissions.md#kb-permissions-trust) avec leur rôle.
**Astuce**
Pour configurer rapidement les autorisations requises, vous pouvez procéder comme suit :
Associez la politique [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess) AWS gérée au rôle d'utilisateur. Pour plus d’informations sur la façon d’attacher une politique à un rôle IAM, consultez [Ajout et suppression d’autorisations basées sur l’identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
Utilisez la console Amazon Bedrock pour créer un rôle de service Amazon Bedrock Knowledge Bases lors de la [création d’une base de connaissances](knowledge-base-create.md). Si vous possédez déjà un rôle de service Amazon Bedrock Knowledge Bases créé pour vous par la console, vous pouvez utiliser celle-ci pour le mettre à jour lorsque vous [récupérez des sources](kb-test-retrieve.md) dans la console.
**Important**
Lorsque vous utilisez le reclassement dans un flux de travail `Retrieve` avec un rôle de service Amazon Bedrock Knowledge Bases, notez ce qui suit :
Si vous modifiez manuellement la politique Gestion des identités et des accès AWS (IAM) créée par Amazon Bedrock pour votre rôle de service de base de connaissances, vous risquez de rencontrer des erreurs lorsque vous tentez de mettre à jour les autorisations dans le. AWS Management Console Pour résoudre ce problème, dans la console IAM, supprimez la version de politique que vous avez créée manuellement. Actualisez ensuite la page de reclassement dans la console Amazon Bedrock et réessayez.
Si vous utilisez un rôle personnalisé, Amazon Bedrock ne peut pas mettre à jour le rôle de service de base de connaissances en votre nom. Vérifiez que les autorisations sont correctement configurées pour le rôle de service.
Pour un récapitulatif des cas d’utilisation et des autorisations nécessaires pour ceux-ci, reportez-vous au tableau suivant :
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/bedrock/latest/userguide/rerank-prereq.html)
Pour voir des exemples de politiques d’autorisations que vous pouvez associer à un rôle IAM, développez la section correspondant à votre cas d’utilisation :
## Politique d’autorisations pour l’utilisation indépendante d’un modèle de reclassement
Pour utiliser directement le [reclassement](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Rerank.html) avec une liste de sources, le rôle utilisateur doit être autorisé à utiliser les actions `bedrock:Rerank` et `bedrock:InvokeModel`. De même, pour empêcher l’utilisation d’un modèle de reclassement, vous devez refuser les autorisations pour les deux actions. Pour autoriser le rôle utilisateur à utiliser un modèle de reclassement de façon indépendante, vous pouvez attacher la politique suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RerankSid",
"Effect": "Allow",
"Action": [
"bedrock:Rerank"
],
"Resource": "*"
},
{
"Sid": "InvokeModelSid",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/model-id"
]
}
]
}
```
------
Dans la politique précédente, pour l’action `bedrock:InvokeModel`, vous délimitez les autorisations aux modèles que vous souhaitez permettre au rôle d’utiliser pour le reclassement. Pour autoriser l'accès à tous les modèles, utilisez un caractère générique (*\$1*) dans le `Resource` champ.
## Politiques d’autorisations pour l’utilisation d’un modèle de reclassement dans un flux de travail Retrieve
Pour utiliser le reclassement lors de la récupération de données dans une base de connaissances, vous devez configurer les autorisations suivantes :
**Pour le rôle utilisateur**
Le rôle utilisateur a besoin d’autorisations pour utiliser l’action `bedrock:Retrieve`. Pour permettre au rôle utilisateur de récupérer les données d’une base de connaissances, vous pouvez attacher la politique suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveSid",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
]
}
]
}
```
------
Dans la politique précédente, pour l’action `bedrock:Retrieve`, vous définissez les autorisations d’accès aux bases de connaissances à partir desquelles vous souhaitez permettre au rôle de récupérer des informations. Pour autoriser l'accès à toutes les bases de connaissances, vous pouvez utiliser un caractère générique (*\$1*) dans le `Resource` champ.
**Pour le rôle de service**
Le [rôle de service Amazon Bedrock Knowledge Bases](kb-permissions.md) utilisé par l’utilisateur nécessite des autorisations pour utiliser les actions `bedrock:Rerank` et `bedrock:InvokeModel`. Vous pouvez utiliser la console Amazon Bedrock pour configurer automatiquement les autorisations pour votre rôle de service lorsque vous choisissez un modèle de reclassement lors de la [configuration de la récupération de la base de connaissances](kb-test-retrieve.md). Autrement, pour autoriser le rôle de service à reclasser les sources lors de la récupération, vous pouvez attacher la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RerankSid",
"Effect": "Allow",
"Action": [
"bedrock:Rerank"
],
"Resource": "*"
},
{
"Sid": "InvokeModelSid",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId"
}
]
}
```
------
Dans la politique précédente, pour l’action `bedrock:InvokeModel`, vous délimitez les autorisations aux modèles que vous souhaitez permettre au rôle d’utiliser pour le reclassement. Pour autoriser l’accès à tous les modèles, vous pouvez utiliser un caractère générique (\$1) dans le champ `Resource`.
## Politique d'autorisations pour l'utilisation d'un modèle de reclassement dans un flux de travail RetrieveAndGenerate
Pour utiliser un modèle de reclassement lors de la récupération des données d’une base de connaissances et de la génération ultérieure de réponses en fonction des résultats récupérés, le rôle utilisateur doit être autorisé à utiliser les actions `bedrock:RetrieveAndGenerate`, `bedrock:Rerank` et `bedrock:InvokeModel`. Pour autoriser le reclassement des sources lors de la récupération et permettre la génération de réponses en fonction des résultats, vous pouvez attacher la politique suivante au rôle d’utilisateur :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RerankRetrieveAndGenerateSid",
"Effect": "Allow",
"Action": [
"bedrock:Rerank",
"bedrock:RetrieveAndGenerate"
],
"Resource": "*"
},
{
"Sid": "InvokeModelSid",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/RerankModelId}",
"arn:aws:bedrock:us-east-1::foundation-model/GenerationModelId}"
]
}
]
}
```
------
Dans la politique précédente, pour l’opération `bedrock:InvokeModel`, vous délimitez les autorisations aux modèles que vous souhaitez permettre au rôle d’utiliser pour le reclassement, et aux modèles que vous souhaitez permettre au rôle d’utiliser pour générer des réponses. Pour autoriser l'accès à tous les modèles, vous pouvez utiliser un caractère générique (*\$1*) dans le `Resource` champ.
Pour restreindre davantage les autorisations, vous pouvez omettre des actions ou spécifier des ressources et des clés de condition permettant de filtrer les autorisations. Pour plus d’informations sur les actions, les ressources et les clés de condition, consultez les rubriques suivantes dans la *Référence des autorisations de service* :
+ [Actions définies par Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) : découvrez les actions, les types de ressources auxquels vous pouvez les appliquer dans le champ `Resource` et les clés de condition qui vous permettent de filtrer les autorisations dans le champ `Condition`.
+ [Types de ressources définis par Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) : découvrez les types de ressources dans Amazon Bedrock.
+ [Clés de condition pour Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) : découvrez les clés de condition dans Amazon Bedrock.