Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione delle autorizzazioni per un utente o un ruolo per creare e gestire le knowledge base
Per consentire a un utente o a un ruolo di eseguire azioni relative a Knowledge Base per Amazon Bedrock, è necessario allegare delle policy che concedano le autorizzazioni per eseguire tali azioni. Questa pagina descrive le autorizzazioni che consentono a un utente di recuperare informazioni da queste knowledge base e di generare risposte a partire da esse.
Espandi le seguenti sezioni per scoprire come configurare le autorizzazioni per casi d’uso specifici:
## Consentire a un ruolo di creare knowledge base e gestirle
Per consentire a un ruolo IAM di creare una knowledge base, connetterla a un datastore strutturato, gestirla e avviare e gestire i processi di importazione dall’origine dati alla knowledge base, devi fornire le autorizzazioni per le azioni `KnowledgeBase`, `DataSource` e `IngestionJob`. Per fornire le autorizzazioni per etichettare le knowledge base, includi le autorizzazioni per `bedrock:TagResource` e `bedrock:UntagResource`.
**Nota**
Se all'utente o al ruolo è associata la policy [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess) AWS gestita, puoi ignorare questo prerequisito.
Per consentire a un ruolo di eseguire queste azioni, allega la seguente policy al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateKB",
"Effect": "Allow",
"Action": [
"bedrock:CreateKnowledgeBase"
],
"Resource": "*"
},
{
"Sid": "KBDataSourceManagement",
"Effect": "Allow",
"Action": [
"bedrock:GetKnowledgeBase",
"bedrock:ListKnowledgeBases",
"bedrock:UpdateKnowledgeBase",
"bedrock:DeleteKnowledgeBase",
"bedrock:StartIngestionJob",
"bedrock:GetIngestionJob",
"bedrock:ListIngestionJobs",
"bedrock:StopIngestionJob",
"bedrock:TagResource",
"bedrock:UntagResource"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:knowledge-base/{{*}}"
]
}
]
}
```
------
Dopo aver creato una knowledge base, ti consigliamo di ridurre l'ambito delle autorizzazioni nello `KBDataSourceManagement` statuto sostituendo la wildcard ({{\*}}) con l'ID della knowledge base che hai creato.
## Consentire a un ruolo di eseguire le operazioni API della knowledge base
Questa sezione descrive le autorizzazioni necessarie per eseguire le operazioni API `Retrieve` e `RetrieveAndGenerate` per le knowledge base.
Allega al ruolo la policy seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GetKB",
"Effect": "Allow",
"Action": [
"bedrock:GetKnowledgeBase"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:knowledge-base/{{${KnowledgeBaseId}}}"
]
},
{
"Sid": "Retrieve",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:knowledge-base/{{${KnowledgeBaseId}}}"
]
},
{
"Sid": "RetrieveAndGenerate",
"Effect": "Allow",
"Action": [
"bedrock:RetrieveAndGenerate"
],
"Resource": [
"*"
]
}
]
}
```
------
Puoi rimuovere le dichiarazioni non necessarie, a seconda del caso d’uso:
+ L’istruzione `GetKB` viene utilizzata per ottenere le informazioni sulla knowledge base.
+ L’istruzione `Retrieve` è necessaria per chiamare [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html) per recuperare i dati dal datastore.
+ L’istruzione `RetrieveAndGenerate` è necessaria per chiamare [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) al fine di recuperare i dati dal datastore e generare risposte basate sui dati.
## Richiedi l'accesso ai modelli di base per RetrieveAndGenerate
Se intendi utilizzare [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) per generare risposte basate sui dati recuperati dalla tua origine dati, richiedi l’accesso ai modelli di fondazione da utilizzare per la generazione seguendo la procedura riportata in [Richiedi l'accesso ai modelli](model-access.md).
Per limitare ulteriormente le autorizzazioni, puoi omettere azioni o specificare risorse e chiavi di condizione con cui filtrare le autorizzazioni. Per ulteriori informazioni su azioni, risorse e chiavi di condizione, consultare i seguenti argomenti nella *documentazione di riferimento per l’autorizzazione al servizio*:
+ [Azioni definite da Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions): informazioni sulle azioni, sui tipi di risorse a cui è possibile limitare l’ambito nel campo `Resource` e sulle chiavi di condizione utilizzabili per filtrare le autorizzazioni nel campo `Condition`.
+ [Tipi di risorse definiti da Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies): informazioni sui tipi di risorse in Amazon Bedrock.
+ [Chiavi di condizione per Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys): informazioni sulle chiavi di condizione in Amazon Bedrock.