Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Buat peran layanan untuk Amazon Bedrock Agents

Mode fokus
Buat peran layanan untuk Amazon Bedrock Agents - Amazon Bedrock

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk menggunakan peran layanan khusus untuk agen, bukan yang dibuat Amazon Bedrock secara otomatis, buat peran IAM dan lampirkan izin berikut dengan mengikuti langkah-langkah di Membuat peran untuk mendelegasikan izin ke layanan. AWS

  • Kebijakan kepercayaan

  • Kebijakan yang berisi izin berbasis identitas berikut:

    • Akses ke model dasar Amazon Bedrock.

    • Akses ke objek Amazon S3 yang berisi OpenAPI skema untuk kelompok aksi di agen Anda.

    • Izin untuk Amazon Bedrock untuk menanyakan basis pengetahuan yang ingin Anda lampirkan ke agen Anda.

    • Jika salah satu situasi berikut berkaitan dengan kasus penggunaan Anda, tambahkan pernyataan ke kebijakan atau tambahkan kebijakan dengan pernyataan ke peran layanan:

Baik Anda menggunakan peran kustom atau tidak, Anda juga perlu melampirkan kebijakan berbasis sumber daya ke fungsi Lambda untuk grup tindakan di agen Anda guna memberikan izin bagi peran layanan untuk mengakses fungsi. Untuk informasi selengkapnya, lihat Kebijakan berbasis sumber daya untuk mengizinkan Amazon Bedrock menjalankan fungsi Lambda grup tindakan.

Hubungan kepercayaan

Kebijakan kepercayaan berikut memungkinkan Amazon Bedrock untuk mengambil peran ini dan membuat serta mengelola agen. Ganti ${values} yang diperlukan. Kebijakan ini berisi kunci kondisi opsional (lihat Kunci kondisi untuk Amazon Bedrock dan kunci konteks kondisi AWS global) di Condition bidang yang kami sarankan Anda gunakan sebagai praktik terbaik keamanan.

catatan

Sebagai praktik terbaik untuk tujuan keamanan, ganti * dengan agen tertentu IDs setelah Anda membuatnya.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "${account-id}" }, "ArnLike": { "AWS:SourceArn": "arn:aws:bedrock:${region}:${account-id}:agent/*" } } }] }

Izin berbasis identitas untuk peran layanan Agen

Lampirkan kebijakan berikut untuk memberikan izin untuk peran layanan, ganti ${values} seperlunya. Kebijakan tersebut berisi pernyataan berikut. Hilangkan pernyataan jika tidak berlaku untuk kasus penggunaan Anda. Kebijakan ini berisi kunci kondisi opsional (lihat Kunci kondisi untuk Amazon Bedrock dan kunci konteks kondisi AWS global) di Condition bidang yang kami sarankan Anda gunakan sebagai praktik terbaik keamanan.

catatan

Jika Anda mengenkripsi agen Anda dengan kunci KMS yang dikelola pelanggan, lihat Enkripsi sumber daya agen untuk izin lebih lanjut yang perlu Anda tambahkan.

  • Izin untuk menggunakan model foundation Amazon Bedrock untuk menjalankan inferensi model pada prompt yang digunakan dalam orkestrasi agen Anda.

  • Izin untuk mengakses skema API grup tindakan agen Anda di Amazon S3. Abaikan pernyataan ini jika agen Anda tidak memiliki grup tindakan.

  • Izin untuk mengakses basis pengetahuan yang terkait dengan agen Anda. Abaikan pernyataan ini jika agen Anda tidak memiliki basis pengetahuan terkait.

  • Izin untuk mengakses pihak ketiga (Pinecone atau Redis Enterprise Cloud) basis pengetahuan yang terkait dengan agen Anda. Abaikan pernyataan ini jika basis pengetahuan Anda adalah pihak pertama (Amazon Tanpa OpenSearch Server atau Amazon Aurora) atau jika agen Anda tidak memiliki basis pengetahuan terkait.

  • Izin untuk mengakses prompt dari manajemen Prompt. Abaikan pernyataan ini jika Anda tidak berencana untuk menguji prompt dari manajemen prompt dengan agen Anda di konsol Amazon Bedrock.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AgentModelInvocationPermissions", "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-v2", "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-v2:1", "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-instant-v1" ] }, { "Sid": "AgentActionGroupS3", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket/path/to/schema" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${account-id}" } } }, { "Sid": "AgentKnowledgeBaseQuery", "Effect": "Allow", "Action": [ "bedrock:Retrieve", "bedrock:RetrieveAndGenerate" ], "Resource": [ "arn:aws:bedrock:${region}:${account-id}:knowledge-base/knowledge-base-id" ] }, { "Sid": "Agent3PKnowledgeBase", "Effect": "Allow", "Action": [ "bedrock:AssociateThirdPartyKnowledgeBase", ], "Resource": "arn:aws:bedrock:${region}:${account-id}:knowledge-base/knowledge-base-id", "Condition": { "StringEquals" : { "bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:kms:${region}:${account-id}:key/${key-id}" } } }, { "Sid": "AgentPromptManagementConsole", "Effect": "Allow", "Action": [ "bedrock:GetPrompt", ], "Resource": [ "arn:aws:bedrock:${region}:${account-id}:prompt/prompt-id" ] }, ] }

(Opsional) Kebijakan berbasis identitas untuk mengizinkan Amazon Bedrock menggunakan Throughput yang Disediakan dengan alias agen Anda

Jika Anda mengaitkan Throughput yang Disediakan dengan alias agen Anda, lampirkan kebijakan berbasis identitas berikut ke peran layanan atau tambahkan pernyataan tersebut ke kebijakan. Izin berbasis identitas untuk peran layanan Agen

{ "Version": "2012-10-17", "Statement": [ { "Sid": "UsePT", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:GetProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:{${region}}:{${account-id}}:${provisioned-model-id}" ] } ] }

(Opsional) Kebijakan berbasis identitas untuk mengizinkan Amazon Bedrock menggunakan pagar pembatas dengan Agen Anda

Jika Anda mengaitkan pagar pembatas dengan agen Anda, lampirkan kebijakan berbasis identitas berikut ke peran layanan atau tambahkan pernyataan tersebut ke kebijakan. Izin berbasis identitas untuk peran layanan Agen

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ApplyGuardrail", "Effect": "Allow", "Action": "bedrock:ApplyGuardrail", "Resource": [ "arn:aws:bedrock:{${region}}:{${account-id}}:guardrail/${guardrail-id}" ] } ] }

(Opsional) Kebijakan berbasis identitas untuk mengizinkan Amazon Bedrock mengakses file dari S3 untuk digunakan dengan interpretasi kode

Jika Anda mengaktifkanAktifkan interpretasi kode di Amazon Bedrock, lampirkan kebijakan berbasis identitas berikut ke peran layanan atau tambahkan pernyataan ke kebijakan dalam Izin berbasis identitas untuk peran layanan Agen.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonBedrockAgentFileAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:GetObjectVersionAttributes", "s3:GetObjectAttributes" ], "Resource": [ "arn:aws:s3:::[[customerProvidedS3BucketWithKey]]" ] } ] }

Kebijakan berbasis sumber daya untuk mengizinkan Amazon Bedrock menjalankan fungsi Lambda grup tindakan

Ikuti langkah-langkah di Menggunakan kebijakan berbasis sumber daya untuk Lambda dan lampirkan kebijakan berbasis sumber daya berikut ke fungsi Lambda untuk memungkinkan Amazon Bedrock mengakses fungsi Lambda untuk grup tindakan agen Anda, menggantikan yang diperlukan. ${values} Kebijakan ini berisi kunci kondisi opsional (lihat Kunci kondisi untuk Amazon Bedrock dan kunci konteks kondisi AWS global) di Condition bidang yang kami sarankan Anda gunakan sebagai praktik terbaik keamanan.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessLambdaFunction", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:${region}:${account-id}:function:function-name", "Condition": { "StringEquals": { "AWS:SourceAccount": "${account-id}" }, "ArnLike": { "AWS:SourceArn": "arn:aws:bedrock:${region}:${account-id}:agent/${agent-id}" } } } ] }
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.