Amazon Bedrock のエージェント向けのアイデンティティベースのポリシーの例 - Amazon Bedrock
Amazon Bedrock のエージェントに必要な権限ユーザーがエージェントに関する情報を表示したり、エージェントを呼び出したりできるようにします。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Bedrock のエージェント向けのアイデンティティベースのポリシーの例

トピックを選択すると、IAM ロールにアタッチして IAM ロール内のアクションのアクセス権限をプロビジョニングできる IAM ポリシーの例が表示されます。Agents for Amazon Bedrock

Amazon Bedrock のエージェントに必要な権限

IAM ID が Amazon Bedrock 用エージェントを使用するには、必要な権限を設定する必要があります。AmazonBedrockFullAccessポリシーをアタッチして、ロールに適切なアクセス権限を付与できます。

Agents for Amazon Bedrock で使用されるアクションのみにアクセス権限を制限するには、以下のアイデンティティベースのポリシーを IAM ロールにアタッチします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Agents for Amazon Bedrock permissions",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource", 
                "bedrock:CreateAgent", 
                "bedrock:UpdateAgent", 
                "bedrock:GetAgent", 
                "bedrock:ListAgents", 
                "bedrock:DeleteAgent",
                "bedrock:CreateAgentActionGroup", 
                "bedrock:UpdateAgentActionGroup", 
                "bedrock:GetAgentActionGroup", 
                "bedrock:ListAgentActionGroups", 
                "bedrock:DeleteAgentActionGroup",
                "bedrock:GetAgentVersion",
                "bedrock:ListAgentVersions", 
                "bedrock:DeleteAgentVersion",
                "bedrock:CreateAgentAlias", 
                "bedrock:UpdateAgentAlias",               
                "bedrock:GetAgentAlias",
                "bedrock:ListAgentAliases",
                "bedrock:DeleteAgentAlias",
                "bedrock:AssociateAgentKnowledgeBase",
                "bedrock:DisassociateAgentKnowledgeBase",
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:PrepareAgent",
                "bedrock:InvokeAgent"
            ],
            "Resource": "*"
        }
    ]   
}

アクションを省略したり、リソースや条件キーを指定したりすることで、アクセス権限をさらに制限できます。IAM ID は特定のリソースに対する API オペレーションを呼び出すことができます。たとえば、UpdateAgentオペレーションはエージェントリソースでのみ使用でき、InvokeAgentオペレーションはエイリアスリソースでのみ使用できます。特定のリソースタイプ (など CreateAgent) では使用されない API オペレーションの場合は、* をとして指定しますResource。ポリシーで指定されたリソースでは使用できない API オペレーションを指定すると、Amazon Bedrock はエラーを返します。

ユーザーがエージェントに関する情報を表示したり、エージェントを呼び出したりできるようにします。

以下は、IAM ロールにアタッチして、ID AGENT12345 のエージェントに関する情報を表示または編集したり、ID ALIAS12345 のエイリアスとやり取りしたりできるようにするサンプルポリシーです。たとえば、エージェントのトラブルシューティングと更新を行う権限だけを付与したいロールに、このポリシーをアタッチできます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Get information about and update an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetAgent",
                "bedrock:UpdateAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345"
        },
        {
            "Sid": "Invoke an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345"
        },
    ]
}