Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh kebijakan berbasis identitas untuk Agen Amazon Bedrock

Pilih topik untuk melihat contoh kebijakan IAM yang dapat Anda lampirkan ke peran IAM untuk memberikan izin untuk tindakan. Agen untuk Amazon Bedrock

Izin yang diperlukan untuk Agen untuk Amazon Bedrock

Agar identitas IAM dapat menggunakan Agen untuk Amazon Bedrock, Anda harus mengonfigurasinya dengan izin yang diperlukan. Anda dapat melampirkan AmazonBedrockFullAccesskebijakan untuk memberikan izin yang tepat untuk peran tersebut.

Untuk membatasi izin hanya tindakan yang digunakan di Agen untuk Amazon Bedrock, lampirkan kebijakan berbasis identitas berikut ke peran IAM:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Agents for Amazon Bedrock permissions",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource", 
                "bedrock:CreateAgent", 
                "bedrock:UpdateAgent", 
                "bedrock:GetAgent", 
                "bedrock:ListAgents", 
                "bedrock:DeleteAgent",
                "bedrock:CreateAgentActionGroup", 
                "bedrock:UpdateAgentActionGroup", 
                "bedrock:GetAgentActionGroup", 
                "bedrock:ListAgentActionGroups", 
                "bedrock:DeleteAgentActionGroup",
                "bedrock:GetAgentVersion",
                "bedrock:ListAgentVersions", 
                "bedrock:DeleteAgentVersion",
                "bedrock:CreateAgentAlias", 
                "bedrock:UpdateAgentAlias",               
                "bedrock:GetAgentAlias",
                "bedrock:ListAgentAliases",
                "bedrock:DeleteAgentAlias",
                "bedrock:AssociateAgentKnowledgeBase",
                "bedrock:DisassociateAgentKnowledgeBase",
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:PrepareAgent",
                "bedrock:InvokeAgent"
            ],
            "Resource": "*"
        }
    ]   
}

Anda dapat membatasi izin lebih lanjut dengan menghilangkan tindakan atau menentukan sumber daya dan kunci kondisi. Identitas IAM dapat memanggil operasi API pada sumber daya tertentu. Misalnya, UpdateAgentoperasi hanya dapat digunakan pada sumber daya agen dan InvokeAgentoperasi hanya dapat digunakan pada sumber daya alias. Untuk operasi API yang tidak digunakan pada jenis sumber daya tertentu (seperti CreateAgent), tentukan * sebagaiResource. Jika Anda menentukan operasi API yang tidak dapat digunakan pada sumber daya yang ditentukan dalam kebijakan, Amazon Bedrock akan menampilkan kesalahan.

Memungkinkan pengguna untuk melihat informasi tentang dan memanggil agen

Berikut ini adalah contoh kebijakan yang dapat Anda lampirkan ke peran IAM untuk memungkinkannya melihat informasi tentang atau mengedit agen dengan ID AGENT12345 dan untuk berinteraksi dengan aliasnya dengan ID ALIAS12345. Misalnya, Anda dapat melampirkan kebijakan ini ke peran yang hanya ingin memiliki izin untuk memecahkan masalah agen dan memperbaruinya.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Get information about and update an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetAgent",
                "bedrock:UpdateAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345"
        },
        {
            "Sid": "Invoke an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345"
        },
    ]
}