Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh kebijakan berbasis identitas untuk Agen Amazon Bedrock

Pilih topik untuk melihat contoh IAM kebijakan yang dapat Anda lampirkan ke IAM peran untuk memberikan izin untuk tindakan. Mengotomatiskan tugas dalam aplikasi Anda menggunakan agen percakapan

Izin yang diperlukan untuk Agen Bedrock Amazon

Agar IAM identitas dapat menggunakan Agen Bedrock Amazon, Anda harus mengonfigurasinya dengan izin yang diperlukan. Anda dapat melampirkan AmazonBedrockFullAccesskebijakan untuk memberikan izin yang tepat untuk peran tersebut.

Untuk membatasi izin hanya tindakan yang digunakan di Agen Amazon Bedrock, lampirkan kebijakan berbasis identitas berikut ke peran: IAM

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Amazon Bedrock Agents permissions",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource", 
                "bedrock:CreateAgent", 
                "bedrock:UpdateAgent", 
                "bedrock:GetAgent", 
                "bedrock:ListAgents", 
                "bedrock:DeleteAgent",
                "bedrock:CreateAgentActionGroup", 
                "bedrock:UpdateAgentActionGroup", 
                "bedrock:GetAgentActionGroup", 
                "bedrock:ListAgentActionGroups", 
                "bedrock:DeleteAgentActionGroup",
                "bedrock:GetAgentVersion",
                "bedrock:ListAgentVersions", 
                "bedrock:DeleteAgentVersion",
                "bedrock:CreateAgentAlias", 
                "bedrock:UpdateAgentAlias",               
                "bedrock:GetAgentAlias",
                "bedrock:ListAgentAliases",
                "bedrock:DeleteAgentAlias",
                "bedrock:AssociateAgentKnowledgeBase",
                "bedrock:DisassociateAgentKnowledgeBase",
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:PrepareAgent",
                "bedrock:InvokeAgent"
            ],
            "Resource": "*"
        }
    ]   
}

Anda dapat membatasi izin lebih lanjut dengan menghilangkan tindakan atau menentukan sumber daya dan kunci kondisi. IAMIdentitas dapat memanggil API operasi pada sumber daya tertentu. Sebagai contoh, UpdateAgentoperasi hanya dapat digunakan pada sumber daya agen dan InvokeAgentoperasi hanya dapat digunakan pada sumber daya alias. Untuk API operasi yang tidak digunakan pada jenis sumber daya tertentu (seperti CreateAgent), tentukan * sebagaiResource. Jika Anda menentukan API operasi yang tidak dapat digunakan pada sumber daya yang ditentukan dalam kebijakan, Amazon Bedrock akan menampilkan kesalahan.

Memungkinkan pengguna untuk melihat informasi tentang dan memanggil agen

Berikut ini adalah contoh kebijakan yang dapat Anda lampirkan ke IAM peran untuk memungkinkannya melihat informasi tentang atau mengedit agen dengan ID AGENT12345 dan untuk berinteraksi dengan aliasnya dengan ID ALIAS12345. Misalnya, Anda dapat melampirkan kebijakan ini ke peran yang hanya ingin memiliki izin untuk memecahkan masalah agen dan memperbaruinya.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Get information about and update an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetAgent",
                "bedrock:UpdateAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345"
        },
        {
            "Sid": "Invoke an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345"
        },
    ]
}