Amazon Bedrock Agents のアイデンティティベースのポリシーの例 - Amazon Bedrock
Amazon Bedrock エージェントに必要なアクセス許可エージェントに関する情報の表示と呼び出しをユーザーに許可する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Bedrock Agents のアイデンティティベースのポリシーの例

トピックを選択すると、 IAMロールにアタッチして のアクションのアクセス許可をプロビジョニングできるIAMポリシーの例が表示されます会話エージェントを使用してアプリケーションのタスクを自動化する

Amazon Bedrock エージェントに必要なアクセス許可

ID が Amazon Bedrock エージェントを使用するには、必要なアクセス許可でIAM設定する必要があります。AmazonBedrockFullAccess ポリシーをアタッチして、ロールに適切なアクセス許可を付与できます。

Amazon Bedrock エージェントで使用されるアクションのみにアクセス許可を制限するには、次のアイデンティティベースのポリシーを IAMロールにアタッチします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Amazon Bedrock Agents permissions",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource", 
                "bedrock:CreateAgent", 
                "bedrock:UpdateAgent", 
                "bedrock:GetAgent", 
                "bedrock:ListAgents", 
                "bedrock:DeleteAgent",
                "bedrock:CreateAgentActionGroup", 
                "bedrock:UpdateAgentActionGroup", 
                "bedrock:GetAgentActionGroup", 
                "bedrock:ListAgentActionGroups", 
                "bedrock:DeleteAgentActionGroup",
                "bedrock:GetAgentVersion",
                "bedrock:ListAgentVersions", 
                "bedrock:DeleteAgentVersion",
                "bedrock:CreateAgentAlias", 
                "bedrock:UpdateAgentAlias",               
                "bedrock:GetAgentAlias",
                "bedrock:ListAgentAliases",
                "bedrock:DeleteAgentAlias",
                "bedrock:AssociateAgentKnowledgeBase",
                "bedrock:DisassociateAgentKnowledgeBase",
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:PrepareAgent",
                "bedrock:InvokeAgent"
            ],
            "Resource": "*"
        }
    ]   
}

アクションを省略するか、リソース条件キー を指定することで、アクセス許可をさらに制限できます。IAM ID は、特定のリソースに対して API オペレーションを呼び出すことができます。たとえば、UpdateAgent オペレーションは、エージェントリソースと でのみ使用できます。 InvokeAgent オペレーションはエイリアスリソースでのみ使用できます。API 特定のリソースタイプ ( CreateAgent) で、 として * を指定しますResource。ポリシーで指定されたリソースで使用できないAPIオペレーションを指定すると、Amazon Bedrock はエラーを返します。

エージェントに関する情報の表示と呼び出しをユーザーに許可する

以下は、 IAMロールにアタッチして、ID を持つエージェントに関する情報を表示または編集できるようにするポリシーの例です。AGENT12345 ID でエイリアスを操作するには、 と を使用します。ALIAS12345。 例えば、このポリシーを、エージェントのトラブルシューティングと更新のアクセス許可のみを持つロールにアタッチできます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Get information about and update an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetAgent",
                "bedrock:UpdateAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345"
        },
        {
            "Sid": "Invoke an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345"
        },
    ]
}