Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

Amazon Bedrock ナレッジベースサービスロールにデータストアへのアクセスを許可する

RSS
フォーカスモード
Amazon Bedrock ナレッジベースサービスロールにデータストアへのアクセスを許可する - Amazon Bedrock

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サポートされている構造化データストアのいずれかにデータが保存されていることを確認します。

  • Amazon Redshift

  • AWS Glue Data Catalog (AWS Lake Formation)

次の表は、データストアに応じて、クエリエンジンで使用できる認証方法をまとめたものです。

認証方法 Amazon Redshift AWS Glue Data Catalog (AWS Lake Formation)
IAM Yes あり Yes あり
データベースユーザー名 Yes あり No なし
AWS Secrets Manager Yes あり No なし

Amazon Bedrock ナレッジベースサービスロールがデータストアにアクセスし、それに基づいてクエリを生成するアクセス許可を設定する方法については、データストアがあるサービスに対応するセクションを展開します。

Amazon Bedrock ナレッジベースサービスロールに Amazon Redshift データベースへのアクセスを許可するには、Amazon Redshift クエリエディタ v2 を使用して、次の SQL コマンドを実行します。

  1. (IAM で認証し、ユーザーがデータベース用にまだ作成されていない場合) 次のコマンドを実行します。このコマンドは、CREATE USER を使用してデータベースユーザーを作成し、IAM による認証を許可します。${service-role} は、作成したカスタム Amazon Bedrock ナレッジベースサービスロールの名前に置き換えます。

    CREATE USER "IAMR:${service-role}" WITH PASSWORD DISABLE;
    重要

    コンソールで作成した Amazon Bedrock ナレッジベースサービスロールを使用してから、このステップを実行する前にデータストアを同期すると、ユーザーは自動的に作成されますが、データストアへのアクセス許可がユーザーに付与されていないため、同期は失敗します。同期する前に、次のステップを実行する必要があります。

  2. GRANT コマンドを実行して、データベースから情報を取得するアクセス許可を ID に付与します。

    IAM
    GRANT SELECT ON ALL TABLES IN SCHEMA ${schemaName} TO "IAMR:${serviceRole}";
    Database user
    GRANT SELECT ON ALL TABLES IN SCHEMA ${schemaName} TO "${dbUser}";
    AWS Secrets Manager username
    GRANT SELECT ON ALL TABLES IN SCHEMA ${schemaName} TO "${secretsUsername}";
    重要

    CREATEUPDATE、または DELETE アクセスを許可しないでください。これらのアクションを付与すると、データの意図しない変更につながる可能性があります。

    アクセス可能なテーブルをよりきめ細かく制御するには、ALL TABLES特定のテーブル名を ${schemaName}${tableName} という表記に置き換えることができます。この表記の詳細については、「データベース間クエリ」の「オブジェクトのクエリ」セクションを参照してください。 https://docs.aws.amazon.com/redshift/latest/dg/cross-database-overview.html

    IAM
    GRANT SELECT ON ${schemaName}.${tableName} TO "IAMR:${serviceRole}";
    Database user
    GRANT SELECT ON ${schemaName}.${tableName} TO "${dbUser}";
    AWS Secrets Manager username
    GRANT SELECT ON ${schemaName}.${tableName} TO "${secretsUsername}";

  3. Redshift データベースで新しいスキーマを作成した場合は、次のコマンドを実行して、新しいスキーマに対する ID アクセス許可を付与します。

    GRANT USAGE ON SCHEMA ${schemaName} TO "IAMR:${serviceRole}";

Amazon Bedrock ナレッジベースサービスロールに Amazon Redshift データベースへのアクセスを許可するには、Amazon Redshift クエリエディタ v2 を使用して、次の SQL コマンドを実行します。

  1. (IAM で認証し、ユーザーがデータベース用にまだ作成されていない場合) 次のコマンドを実行します。このコマンドは、CREATE USER を使用してデータベースユーザーを作成し、IAM による認証を許可します。${service-role} は、作成したカスタム Amazon Bedrock ナレッジベースサービスロールの名前に置き換えます。

    CREATE USER "IAMR:${service-role}" WITH PASSWORD DISABLE;
    重要

    コンソールで作成した Amazon Bedrock ナレッジベースサービスロールを使用してから、このステップを実行する前にデータストアを同期すると、ユーザーは自動的に作成されますが、データストアへのアクセス許可がユーザーに付与されていないため、同期は失敗します。同期する前に、次のステップを実行する必要があります。

  2. GRANT コマンドを実行して、データベースから情報を取得するアクセス許可を ID に付与します。

    IAM
    GRANT SELECT ON ALL TABLES IN SCHEMA ${schemaName} TO "IAMR:${serviceRole}";
    Database user
    GRANT SELECT ON ALL TABLES IN SCHEMA ${schemaName} TO "${dbUser}";
    AWS Secrets Manager username
    GRANT SELECT ON ALL TABLES IN SCHEMA ${schemaName} TO "${secretsUsername}";
    anchoranchoranchor
    GRANT SELECT ON ALL TABLES IN SCHEMA ${schemaName} TO "IAMR:${serviceRole}";
    重要

    CREATEUPDATE、または DELETE アクセスを許可しないでください。これらのアクションを付与すると、データの意図しない変更につながる可能性があります。

    アクセス可能なテーブルをよりきめ細かく制御するには、ALL TABLES特定のテーブル名を ${schemaName}${tableName} という表記に置き換えることができます。この表記の詳細については、「データベース間クエリ」の「オブジェクトのクエリ」セクションを参照してください。 https://docs.aws.amazon.com/redshift/latest/dg/cross-database-overview.html

    IAM
    GRANT SELECT ON ${schemaName}.${tableName} TO "IAMR:${serviceRole}";
    Database user
    GRANT SELECT ON ${schemaName}.${tableName} TO "${dbUser}";
    AWS Secrets Manager username
    GRANT SELECT ON ${schemaName}.${tableName} TO "${secretsUsername}";
    anchoranchoranchor
    GRANT SELECT ON ${schemaName}.${tableName} TO "IAMR:${serviceRole}";

  3. Redshift データベースで新しいスキーマを作成した場合は、次のコマンドを実行して、新しいスキーマに対する ID アクセス許可を付与します。

    GRANT USAGE ON SCHEMA ${schemaName} TO "IAMR:${serviceRole}";

Amazon Bedrock ナレッジベースサービスロールに AWS Glue Data Catalog データストアへのアクセスを許可するには、Amazon Redshift クエリエディタ v2 を使用して、次の SQL コマンドを実行します。

  1. 次のコマンドを実行します。CREATE USER を使用してデータベースユーザーを作成し、IAM による認証を許可します。${service-role} は、作成したカスタム Amazon Bedrock ナレッジベースサービスロールの名前に置き換えます。

    CREATE USER "IAMR:${service-role}" WITH PASSWORD DISABLE;
    重要

    コンソールで作成した Amazon Bedrock ナレッジベースサービスロールを使用してから、このステップを実行する前にデータストアを同期すると、ユーザーは自動的に作成されますが、データストアへのアクセス許可がユーザーに付与されていないため、同期は失敗します。同期する前に、次のステップを実行する必要があります。

  2. 次の GRANT コマンドを実行して、データベースから情報を取得するアクセス許可をサービスロールに付与します。

    GRANT USAGE ON DATABASE awsdatacatalog TO "IAMR:${serviceRole}";
    重要

    CREATEUPDATE、または DELETE アクセスを許可しないでください。これらのアクションを付与すると、データの意図しない変更につながる可能性があります。

  3. AWS Glue Data Catalog データベースへのアクセスを許可するには、サービスロールに次のアクセス許可をアタッチします。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabases",
                "glue:GetDatabase",
                "glue:GetTables",
                "glue:GetTable",
                "glue:GetPartitions",
                "glue:GetPartition",
                "glue:SearchTables"
            ],
            "Resource": [
                "arn:aws:glue:${Region}:${Account}:table/${DatabaseName}/${TableName}",
                "arn:aws:glue:${Region}:${Account}:database/${DatabaseName}",
                "arn:aws:glue:${Region}:${Account}:catalog"
            ]
        }
    ]
}

  4. 以下を実行して AWS Lake Formation 、 (Lake Formation とその Amazon Redshift との関係の詳細については、「Redshift Spectrum AWS Lake Formation」および「」を参照) を通じてサービスロールにアクセス許可を付与します。

    1. にサインインし AWS Management Console、https://https://console.aws.amazon.com/lakeformation/..com で Lake Formation コンソールを開きます。

    2. 左側のナビゲーションペインからデータアクセス許可を選択します。

    3. Amazon Bedrock ナレッジベースに使用しているサービスロールにアクセス許可を付与します。

    4. データベースとテーブルに対する Describe および Select のアクセス許可を付与します。

  5. 使用するデータソースによっては AWS Glue Data Catalog、そのデータソースにアクセスするためのアクセス許可も追加する必要がある場合があります (詳細については、AWS Glue 「他の への依存関係 AWS のサービス」を参照してください)。たとえば、データソースが Amazon S3 の場所にある場合は、上記のポリシーに次のステートメントを追加する必要があります。

    {
    "Sid": "Statement1",
    "Effect": "Allow",
    "Action": [
        "s3:ListBucket",
        "s3:GetObject"
    ],
    "Resource": [
        "arn:aws:s3:::${BucketName}",
        "arn:aws:s3:::${BucketName}/*"
    ]
}

Amazon Bedrock ナレッジベースサービスロールに AWS Glue Data Catalog データストアへのアクセスを許可するには、Amazon Redshift クエリエディタ v2 を使用して、次の SQL コマンドを実行します。

  1. 次のコマンドを実行します。CREATE USER を使用してデータベースユーザーを作成し、IAM による認証を許可します。${service-role} は、作成したカスタム Amazon Bedrock ナレッジベースサービスロールの名前に置き換えます。

    CREATE USER "IAMR:${service-role}" WITH PASSWORD DISABLE;
    重要

    コンソールで作成した Amazon Bedrock ナレッジベースサービスロールを使用してから、このステップを実行する前にデータストアを同期すると、ユーザーは自動的に作成されますが、データストアへのアクセス許可がユーザーに付与されていないため、同期は失敗します。同期する前に、次のステップを実行する必要があります。

  2. 次の GRANT コマンドを実行して、データベースから情報を取得するアクセス許可をサービスロールに付与します。

    GRANT USAGE ON DATABASE awsdatacatalog TO "IAMR:${serviceRole}";
    重要

    CREATEUPDATE、または DELETE アクセスを許可しないでください。これらのアクションを付与すると、データの意図しない変更につながる可能性があります。

  3. AWS Glue Data Catalog データベースへのアクセスを許可するには、サービスロールに次のアクセス許可をアタッチします。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabases",
                "glue:GetDatabase",
                "glue:GetTables",
                "glue:GetTable",
                "glue:GetPartitions",
                "glue:GetPartition",
                "glue:SearchTables"
            ],
            "Resource": [
                "arn:aws:glue:${Region}:${Account}:table/${DatabaseName}/${TableName}",
                "arn:aws:glue:${Region}:${Account}:database/${DatabaseName}",
                "arn:aws:glue:${Region}:${Account}:catalog"
            ]
        }
    ]
}

  4. 以下を実行して AWS Lake Formation 、 (Lake Formation とその Amazon Redshift との関係の詳細については、「Redshift Spectrum AWS Lake Formation」および「」を参照) を通じてサービスロールにアクセス許可を付与します。

    1. にサインインし AWS Management Console、https://https://console.aws.amazon.com/lakeformation/..com で Lake Formation コンソールを開きます。

    2. 左側のナビゲーションペインからデータアクセス許可を選択します。

    3. Amazon Bedrock ナレッジベースに使用しているサービスロールにアクセス許可を付与します。

    4. データベースとテーブルに対する Describe および Select のアクセス許可を付与します。

  5. 使用するデータソースによっては AWS Glue Data Catalog、そのデータソースにアクセスするためのアクセス許可も追加する必要がある場合があります (詳細については、AWS Glue 「他の への依存関係 AWS のサービス」を参照してください)。たとえば、データソースが Amazon S3 の場所にある場合は、上記のポリシーに次のステートメントを追加する必要があります。

    {
    "Sid": "Statement1",
    "Effect": "Allow",
    "Action": [
        "s3:ListBucket",
        "s3:GetObject"
    ],
    "Resource": [
        "arn:aws:s3:::${BucketName}",
        "arn:aws:s3:::${BucketName}/*"
    ]
}

Related resources

Amazon Bedrock API リファレンス
AWS CLI の コマンド Amazon Bedrock
SDK とツール 

Related resources

Amazon Bedrock API リファレンス
AWS CLI の コマンド Amazon Bedrock
SDK とツール 
プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.