翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Bedrock で再ランク付けするためのアクセス許可
ユーザーが再ランク付けを使用するには、次のアクセス許可が必要です。
+ 使用する予定の再ランク付けモデルへのアクセス。詳細については、「[Access Amazon Bedrock foundation models](model-access.md)」を参照してください。
+ 各自のロールに対するアクセス許可、および [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html) ワークフローで再ランク付けを使用する予定がある場合は、各自のロールと[信頼関係](kb-permissions.md#kb-permissions-trust)にある Amazon Bedrock ナレッジベースサービスロールに対するアクセス許可。
**ヒント**
必要なアクセス許可をすばやく設定するには、次を実行します。
[AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)AWS 管理ポリシーをユーザーロールにアタッチします。IAM ロールへのポリシーのアタッチに関する詳細については、「[IAM アイデンティティのアクセス許可の追加および削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」を参照してください。
[ナレッジベースの作成](knowledge-base-create.md)時に、Amazon Bedrock コンソールを使用して Amazon Bedrock ナレッジベースのサービスロールを作成します。コンソールによって作成された Amazon Bedrock ナレッジベースのサービスロールが既にある場合は、コンソールで[ソースを取得する](kb-test-retrieve.md)ときに、コンソールを使用してそれを更新できます。
**重要**
Amazon Bedrock ナレッジベースのサービスロールを使用して `Retrieve` ワークフローで再ランク付けを使用する場合は、次の点に注意してください。
Amazon Bedrock がナレッジベースサービスロール用に作成した AWS Identity and Access Management(IAM) ポリシーを手動で編集すると、 のアクセス許可を更新しようとするとエラーが発生する可能性がありますAWS マネジメントコンソール。この問題を解決するには、IAM コンソールで、手動で作成したポリシーバージョンを削除します。次に、Amazon Bedrock コンソールでリランカーページを更新して再試行します。
カスタムロールを使用する場合、Amazon Bedrock はユーザーに代わってナレッジベースのサービスロールを更新することはできません。アクセス許可がサービスロールに対して正しく設定されていることを確認します。
ユースケースとそれに必要なアクセス許可の概要については、次のテーブルを参照してください。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/bedrock/latest/userguide/rerank-prereq.html)
IAM ロールにアタッチできるアクセス許可ポリシーの例については、ユースケースに対応するセクションを展開してください。
## 再ランク付けモデルを個別に使用するためのアクセス許可ポリシー
ソースのリストで [Rerank](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Rerank.html) を直接使用するには、ユーザーロールに `bedrock:Rerank` アクションと `bedrock:InvokeModel` アクションの両方を使用するためのアクセス許可が必要です。同様に、再ランク付けモデルの使用を防ぐには、両方のアクションのアクセス許可を拒否する必要があります。ユーザーロールが個別に再ランク付けモデルを使用できるようにするには、次のポリシーをロールにアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RerankSid",
"Effect": "Allow",
"Action": [
"bedrock:Rerank"
],
"Resource": "*"
},
{
"Sid": "InvokeModelSid",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/model-id"
]
}
]
}
```
------
前述のポリシーでは、`bedrock:InvokeModel` アクションに対して、ロールが再ランク付けで使用できるモデルにアクセス許可の範囲を設定します。すべてのモデルへのアクセスを許可するには、`Resource` フィールドでワイルドカード (*\$1*) を使用します。
## 取得ワークフローで再ランク付けモデルを使用するためのアクセス許可ポリシー
ナレッジベースからデータを取得するときに再ランク付けを使用するには、次のアクセス許可を設定する必要があります。
**ユーザーロールの場合**
ユーザーロールには、`bedrock:Retrieve` アクションを使用するためのアクセス許可が必要です。ユーザーロールがナレッジベースからデータを取得できるようにするには、次のポリシーをロールにアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RetrieveSid",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
]
}
]
}
```
------
前述のポリシーでは、`bedrock:Retrieve` アクションに対して、ロールが情報を取得できるナレッジベースにアクセス許可の範囲を設定します。すべてのナレッジベースへのアクセスを許可するために、`Resource` フィールドでワイルドカード (*\$1*) を使用できます。
**サービスロールの場合**
ユーザーが使用する [Amazon Bedrock ナレッジベースのサービスロール](kb-permissions.md)には、`bedrock:Rerank` アクションと `bedrock:InvokeModel` アクションを使用するためのアクセス許可が必要です。[ナレッジベースの取得](kb-test-retrieve.md)を設定するときに再ランク付けモデルを選択すると、Amazon Bedrock コンソールを使用してサービスロールに対応するアクセス許可を自動的に設定できます。それ以外の場合は、サービスロールが取得中にソースを再ランク付けできるようにするには、次のポリシーをアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RerankSid",
"Effect": "Allow",
"Action": [
"bedrock:Rerank"
],
"Resource": "*"
},
{
"Sid": "InvokeModelSid",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId"
}
]
}
```
------
前述のポリシーでは、`bedrock:InvokeModel` アクションに対して、ロールが再ランク付けで使用できるモデルにアクセス許可の範囲を設定します。すべてのモデルへのアクセスを許可するために、`Resource` フィールドでワイルドカード (\$1) を使用できます。
## RetrieveAndGenerate ワークフローで再ランク付けモデルを使用するためのアクセス許可ポリシー
ナレッジベースからデータを取得し、その取得した結果に基づいて応答を生成する際にリランカーモデルを使用するには、`bedrock:RetrieveAndGenerate`、`bedrock:Rerank`、および `bedrock:InvokeModel` のアクションを使用するためのアクセス許可がユーザーロールには必要です。取得中にソースの再ランク付けを許可し、結果に基づいて応答を生成できるようにするために、次のポリシーをユーザーロールにアタッチできます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RerankRetrieveAndGenerateSid",
"Effect": "Allow",
"Action": [
"bedrock:Rerank",
"bedrock:RetrieveAndGenerate"
],
"Resource": "*"
},
{
"Sid": "InvokeModelSid",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/RerankModelId}",
"arn:aws:bedrock:us-east-1::foundation-model/GenerationModelId}"
]
}
]
}
```
------
前記のポリシーでは、`bedrock:InvokeModel` オペレーションに対して、ロールが再ランク付けで使用できるモデルと、ロールが応答の生成に使用できるモデルにアクセス許可の範囲を設定します。すべてのモデルへのアクセスを許可するために、`Resource` フィールドでワイルドカード (*\$1*) を使用できます。
アクセス許可をさらに制限するには、アクションを省略するか、アクセス許可をフィルタリングするためのリソースや条件キーを指定できます。アクション、リソース、条件キーの詳細については、「*サービス認可リファレンス*」の以下のトピックを参照してください。
+ [Amazon Bedrock で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) – アクション、`Resource` フィールドで範囲を定義できるリソースタイプ、`Condition` フィールドでアクセス許可をフィルタリングできる条件キーについて説明しています。
+ [Amazon Bedrock で定義されるリソースタイプ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) – Amazon Bedrock のリソースタイプについて説明しています。
+ [Amazon Bedrock の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) – Amazon Bedrock の条件キーについて説明しています。