Prasyarat untuk manajemen yang cepat - Amazon Bedrock

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat untuk manajemen yang cepat

Agar peran menggunakan manajemen prompt, Anda harus mengizinkannya melakukan serangkaian tindakan API tertentu. Tinjau prasyarat berikut dan penuhi prasyarat yang berlaku untuk kasus penggunaan Anda:

  1. Jika peran Anda memiliki kebijakan AmazonBedrockFullAccess AWS terkelola yang dilampirkan, Anda dapat melewati bagian ini. Jika tidak, ikuti langkah-langkah di Memperbarui kebijakan izin untuk peran dan lampirkan kebijakan berikut ke peran untuk memberikan izin untuk melakukan tindakan yang terkait dengan manajemen Prompt:

    { 
    "Version": "2012-10-17",
    "Statement": [
        {
           "Sid": "PromptManagementPermissions",
           "Effect": "Allow",
           "Action": [
               "bedrock:CreatePrompt",
               "bedrock:UpdatePrompt",
               "bedrock:GetPrompt",
               "bedrock:ListPrompts",
               "bedrock:DeletePrompt",
               "bedrock:CreatePromptVersion",
               "bedrock:OptimizePrompt",
               "bedrock:GetFoundationModel",
               "bedrock:ListFoundationModels",
               "bedrock:GetInferenceProfile",
               "bedrock:ListInferenceProfiles",
               "bedrock:InvokeModel",
               "bedrock:InvokeModelWithResponseStream",
               "bedrock:RenderPrompt",
               "bedrock:TagResource",
               "bedrock:UntagResource",
               "bedrock:ListTagsForResource"
           ],
           "Resource": *
        }
    ]
}

    Untuk membatasi izin lebih lanjut, Anda dapat menghilangkan tindakan, atau Anda dapat menentukan sumber daya dan kunci kondisi yang digunakan untuk memfilter izin. Untuk informasi selengkapnya tentang tindakan, sumber daya, dan kunci kondisi, lihat topik berikut di Referensi Otorisasi Layanan:

    catatan

  2. Jika Anda berencana untuk mengenkripsi prompt Anda dengan kunci yang dikelola pelanggan daripada menggunakan Kunci yang dikelola AWS (untuk informasi selengkapnya, lihat AWS KMS kunci), buat kebijakan berikut:

    1. Ikuti langkah-langkah di Membuat kebijakan kunci dan lampirkan kebijakan kunci berikut ke kunci KMS untuk memungkinkan Amazon Bedrock mengenkripsi dan mendekripsi prompt dengan kunci, menggantikan yang diperlukan. values Kebijakan ini berisi kunci kondisi opsional (lihat Kunci kondisi untuk Amazon Bedrock dan kunci konteks kondisi AWS global) di Condition bidang yang kami sarankan Anda gunakan sebagai praktik terbaik keamanan.

      {
    "Sid": "EncryptFlowKMS",
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:bedrock-prompts:arn": "arn:${partition}:bedrock:${region}:${account-id}:prompt/${prompt-id}"
        }
    }
}

    2. Ikuti langkah-langkah di Perbarui kebijakan izin untuk suatu peran dan lampirkan kebijakan berikut ke peran manajemen prompt, ganti values seperlunya, untuk memungkinkannya menghasilkan dan mendekripsi kunci yang dikelola pelanggan untuk mendapatkan prompt. Kebijakan ini berisi kunci kondisi opsional (lihat Kunci kondisi untuk Amazon Bedrock dan kunci konteks kondisi AWS global) di Condition bidang yang kami sarankan Anda gunakan sebagai praktik terbaik keamanan.

      {
    "Sid": "KMSPermissions",
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": [
        "arn:aws:kms:${region}:${account-id}:key/${key-id}"
    ],
     "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${account-id}"
        }
    }
}