Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Autorizzazioni per la riclassificazione in Amazon Bedrock
Per utilizzare la riclassificazione, un utente richiede le seguenti autorizzazioni:
+ Accesso ai modelli di riclassificazione che intende utilizzare. Per ulteriori informazioni, consulta [Accesso ai modelli di fondazione Amazon Bedrock](model-access.md).
+ Autorizzazioni per il ruolo e, se intende utilizzare la riclassificazione in un flusso di lavoro [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html), autorizzazioni per il ruolo di servizio di Knowledge Base per Amazon Bedrock che ha una [relazione di attendibilità](kb-permissions.md#kb-permissions-trust) con il suo ruolo.
**Suggerimento**
Per configurare rapidamente le autorizzazioni richieste, è possibile:
Allega la policy [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)AWSgestita al ruolo utente. Per ulteriori informazioni sul collegamento di una policy a un ruolo IAM, consultare [Aggiunta e rimozione di autorizzazioni per identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
Utilizzare la console Amazon Bedrock per creare un ruolo di servizio di Knowledge Base per Amazon Bedrock durante la [creazione di una knowledge base](knowledge-base-create.md). Se esiste già di un ruolo di servizio di Knowledge Base per Amazon Bedrock creato dalla console, è possibile utilizzare la console per aggiornarlo durante il [recupero delle origini](kb-test-retrieve.md) nella console.
**Importante**
Quando si utilizza la riclassificazione in un flusso di lavoro `Retrieve` con un ruolo di servizio di Knowledge Base per Amazon Bedrock, tenere presente quanto segue:
Se modifichi manualmente la policy AWS Identity and Access Management (IAM) creata da Amazon Bedrock per il tuo ruolo di servizio della knowledge base, potresti riscontrare errori durante il tentativo di aggiornare le autorizzazioni in. Console di gestione AWS Per risolvere questo problema, nella console IAM, eliminare la versione della policy creata manualmente. Poi aggiornare la pagina della riclassificazione nella console Amazon Bedrock e riprovare.
Se viene utilizzato un ruolo personalizzato, Amazon Bedrock non può aggiornare il ruolo di servizio della knowledge base per conto dell’utente. Verificare che le autorizzazioni siano configurate correttamente per il ruolo di servizio.
Per un riepilogo dei casi d’uso e delle autorizzazioni necessarie, consultare la tabella seguente:
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/bedrock/latest/userguide/rerank-prereq.html)
Ad esempi di policy di autorizzazione che è possibile collegare a un ruolo IAM, espandere la sezione corrispondente al tuo caso d’uso:
## Policy di autorizzazione per utilizzare un modello di riclassificazione in modo indipendente
Per utilizzare [Rerank](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Rerank.html) direttamente con un elenco di origini, il ruolo utente richiede le autorizzazioni per utilizzare sia le azioni `bedrock:Rerank` che le azioni `bedrock:InvokeModel`. Allo stesso modo, per impedire l’utilizzo di un modello di riclassificazione, è necessario negare le autorizzazioni per entrambe le azioni. Per consentire al ruolo utente di utilizzare un modello di riclassificazione in modo indipendente, è possibile collegare la seguente policy al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RerankSid",
"Effect": "Allow",
"Action": [
"bedrock:Rerank"
],
"Resource": "*"
},
{
"Sid": "InvokeModelSid",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/model-id"
]
}
]
}
```
------
Nella policy precedente, per l’azione `bedrock:InvokeModel` l’ambito delle autorizzazioni è limitato ai modelli che si vuole consentire al ruolo di utilizzare per la classificazione. Per consentire l'accesso a tutti i modelli, utilizzate un wildcard () nel campo. *\$1* `Resource`
## Policy di autorizzazione per utilizzare un modello di riclassificazione in un flusso di lavoro Retrieve
Per utilizzare la riclassificazione durante il recupero di dati da una knowledge base, è necessario configurare le seguenti autorizzazioni:
**Per il ruolo utente**
Il ruolo utente richiede e autorizzazioni per utilizzare l’azione `bedrock:Retrieve`. Per consentire al ruolo utente di recuperare i dati da una knowledge base, è possibile collegare la seguente policy al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveSid",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
]
}
]
}
```
------
Nella policy precedente, per l’azione `bedrock:Retrieve` l’ambito delle autorizzazioni è limitato alle knowledge base da cui si desidera consentire al ruolo di recuperare informazioni. Per consentire l'accesso a tutte le knowledge base, puoi usare un wildcard (*\$1*) nel `Resource` campo.
**Per il ruolo di servizio**
Il [ruolo di servizio di Knowledge Base per Amazon Bedrock](kb-permissions.md) utilizzato dall’utente richiede le autorizzazioni per utilizzare le azioni `bedrock:Rerank` e `bedrock:InvokeModel`. È possibile utilizzare la console Amazon Bedrock per configurare automaticamente le autorizzazioni per il ruolo di servizio quando si sceglie un modello di riclassificazione durante la [configurazione del recupero dalla knowledge base](kb-test-retrieve.md). In caso contrario, per consentire al ruolo di servizio di riclassificare le origini durante il recupero, è possibile collegare la seguente policy:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RerankSid",
"Effect": "Allow",
"Action": [
"bedrock:Rerank"
],
"Resource": "*"
},
{
"Sid": "InvokeModelSid",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId"
}
]
}
```
------
Nella policy precedente, per l’azione `bedrock:InvokeModel` l’ambito delle autorizzazioni è limitato ai modelli che si vuole consentire al ruolo di utilizzare per la classificazione. Per consentire l’accesso a tutti i modelli, è possibile utilizzare un carattere jolly (\$1) nel campo `Resource`.
## Politica di autorizzazione per l'utilizzo di un modello di riclasking in un flusso di lavoro RetrieveAndGenerate
Per utilizzare un modello di riclassificazione durante il recupero di dati da una knowledge base e poi generare risposte basate sui risultati recuperati, il ruolo utente richiede le autorizzazioni per utilizzare le azioni `bedrock:RetrieveAndGenerate`, `bedrock:Rerank` e `bedrock:InvokeModel`. Per consentire la riclassificazione delle origini durante il recupero e la generazione di risposte basate sui risultati, è possibile collegare la seguente policy al ruolo utente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RerankRetrieveAndGenerateSid",
"Effect": "Allow",
"Action": [
"bedrock:Rerank",
"bedrock:RetrieveAndGenerate"
],
"Resource": "*"
},
{
"Sid": "InvokeModelSid",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/RerankModelId}",
"arn:aws:bedrock:us-east-1::foundation-model/GenerationModelId}"
]
}
]
}
```
------
Nella policy precedente, per l’operazione `bedrock:InvokeModel` l’ambito delle autorizzazioni è limitato ai modelli che si vuole consentire al ruolo di utilizzare per la riclassificazione e ai modelli che si vuole consentire al ruolo di utilizzare per la generazione di risposte. Per consentire l'accesso a tutti i modelli, puoi utilizzare un wildcard () *\$1* nel campo. `Resource`
Per limitare ulteriormente le autorizzazioni, puoi omettere azioni o specificare risorse e chiavi di condizione con cui filtrare le autorizzazioni. Per ulteriori informazioni su azioni, risorse e chiavi di condizione, consultare i seguenti argomenti nella *documentazione di riferimento per l’autorizzazione al servizio*:
+ [Azioni definite da Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions): scopri le azioni, i tipi di risorsa a cui è possibile limitarle nel campo `Resource` e le chiavi di condizione in base alle quali puoi filtrare le autorizzazioni nel campo `Condition`.
+ [Tipi di risorsa definiti da Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies): scopri i tipi di risorsa in Amazon Bedrock.
+ [Chiavi di condizione per Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys): scopri le chiavi di condizione in Amazon Bedrock.