Amazon Bedrock エージェントのアイデンティティベースのポリシー例 - Amazon Bedrock
Amazon Bedrock エージェントに必要なアクセス許可ユーザーにエージェントに関する情報の表示と呼び出しを許可する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Bedrock エージェントのアイデンティティベースのポリシー例

トピックを選択すると、AI エージェントを使用してアプリケーションのタスクを自動化する のアクションの許可をプロビジョニングするために IAM ロールにアタッチできる IAM ポリシーの例が表示されます。

Amazon Bedrock エージェントに必要なアクセス許可

IAM アイデンティティが Amazon Bedrock エージェントを使用するには、必要なアクセス許可で設定する必要があります。AmazonBedrockFullAccess ポリシーをアタッチして、ロールに適切なアクセス許可を付与できます。

Amazon Bedrock エージェントで使用されるアクションにのみアクセス許可を制限するには、次のアイデンティティベースのポリシーを IAM ロールにアタッチします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Amazon Bedrock Agents permissions",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource", 
                "bedrock:CreateAgent", 
                "bedrock:UpdateAgent", 
                "bedrock:GetAgent", 
                "bedrock:ListAgents", 
                "bedrock:DeleteAgent",
                "bedrock:CreateAgentActionGroup", 
                "bedrock:UpdateAgentActionGroup", 
                "bedrock:GetAgentActionGroup", 
                "bedrock:ListAgentActionGroups", 
                "bedrock:DeleteAgentActionGroup",
                "bedrock:GetAgentVersion",
                "bedrock:ListAgentVersions", 
                "bedrock:DeleteAgentVersion",
                "bedrock:CreateAgentAlias", 
                "bedrock:UpdateAgentAlias",               
                "bedrock:GetAgentAlias",
                "bedrock:ListAgentAliases",
                "bedrock:DeleteAgentAlias",
                "bedrock:AssociateAgentKnowledgeBase",
                "bedrock:DisassociateAgentKnowledgeBase",
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:PrepareAgent",
                "bedrock:InvokeAgent"
            ],
            "Resource": "*"
        }
    ]   
}

アクションを省略するか、リソース条件キーを指定することで、アクセス許可をさらに制限できます。IAM ID は、特定のリソースに対して API オペレーションを呼び出すことができます。例えば、UpdateAgent オペレーションはエージェントリソースでのみ使用でき、InvokeAgent オペレーションは、エイリアスリソースでのみ使用できます。特定のリソースタイプ (CreateAgent など) で使用されない API オペレーションの場合は、Resource として * を指定します。ポリシーで指定されたリソースで使用できない API オペレーションを指定すると、Amazon Bedrock はエラーを返します。

ユーザーにエージェントに関する情報の表示と呼び出しを許可する

以下は、ID AGENT12345 のエージェントに関する情報を表示または編集し、ID ALIAS12345 のエイリアスとやり取りできるようにするために、IAM ロールにアタッチすることができるポリシーの例です。例えば、エージェントのトラブルシューティングと更新を行う権限のみを与えたいロールに、このポリシーをアタッチすることができます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Get information about and update an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetAgent",
                "bedrock:UpdateAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345"
        },
        {
            "Sid": "Invoke an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345"
        },
    ]
}