Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques basées sur l'identité pour les agents Amazon Bedrock
Sélectionnez une rubrique pour voir des exemples de IAM politiques que vous pouvez associer à un IAM rôle afin d'octroyer des autorisations pour des actions dansAutomatisez les tâches de votre application à l'aide d'agents conversationnels.
Rubriques
Autorisations requises pour Amazon Bedrock Agents
Pour qu'une IAM identité puisse utiliser Amazon Bedrock Agents, vous devez la configurer avec les autorisations nécessaires. Vous pouvez joindre la AmazonBedrockFullAccesspolitique pour accorder les autorisations appropriées au rôle.
Pour limiter les autorisations aux seules actions utilisées dans Amazon Bedrock Agents, associez la politique d'identité suivante à un rôle : IAM
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Amazon Bedrock Agents permissions", "Effect": "Allow", "Action": [ "bedrock:ListFoundationModels", "bedrock:GetFoundationModel", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource", "bedrock:CreateAgent", "bedrock:UpdateAgent", "bedrock:GetAgent", "bedrock:ListAgents", "bedrock:DeleteAgent", "bedrock:CreateAgentActionGroup", "bedrock:UpdateAgentActionGroup", "bedrock:GetAgentActionGroup", "bedrock:ListAgentActionGroups", "bedrock:DeleteAgentActionGroup", "bedrock:GetAgentVersion", "bedrock:ListAgentVersions", "bedrock:DeleteAgentVersion", "bedrock:CreateAgentAlias", "bedrock:UpdateAgentAlias", "bedrock:GetAgentAlias", "bedrock:ListAgentAliases", "bedrock:DeleteAgentAlias", "bedrock:AssociateAgentKnowledgeBase", "bedrock:DisassociateAgentKnowledgeBase", "bedrock:GetKnowledgeBase", "bedrock:ListKnowledgeBases", "bedrock:PrepareAgent", "bedrock:InvokeAgent" ], "Resource": "*" } ] }
Vous pouvez restreindre davantage les autorisations en omettant des actions ou en spécifiant des ressources et des clés de condition. Une IAM identité peut appeler API des opérations sur des ressources spécifiques. Par exemple, les recettes UpdateAgentl'opération ne peut être utilisée que sur les ressources de l'agent et InvokeAgentl'opération ne peut être utilisée que sur des ressources d'alias. Pour les API opérations qui ne sont pas utilisées sur un type de ressource spécifique (comme CreateAgent), spécifiez * commeResource. Si vous spécifiez une API opération qui ne peut pas être utilisée sur la ressource spécifiée dans la politique, Amazon Bedrock renvoie une erreur.
Autoriser les utilisateurs à consulter les informations relatives à un agent et à l'appeler
Voici un exemple de politique que vous pouvez associer à un IAM rôle pour lui permettre de consulter des informations sur un agent portant l'ID ou de le modifier AGENT12345 et d'interagir avec son alias avec l'ID ALIAS12345. Par exemple, vous pouvez associer cette politique à un rôle pour lequel vous souhaitez uniquement disposer des autorisations nécessaires pour dépanner un agent et le mettre à jour.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Get information about and update an agent", "Effect": "Allow", "Action": [ "bedrock:GetAgent", "bedrock:UpdateAgent" ], "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345" }, { "Sid": "Invoke an agent", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent" ], "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345" }, ] }
