As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurar permissões para um usuário ou perfil para criar e gerenciar bases de conhecimento
Para que um usuário ou perfil realize ações relacionadas às Bases de Conhecimento do Amazon Bedrock, você deve anexar políticas que concedam permissões para realizá-las. Esta seção descreve as permissões que possibilitam que o usuário recupere informações dessas bases de conhecimento e gere respostas com base nelas.
Expanda as seguintes seções para saber como configurar permissões para casos de uso específicos:
## Permitir que um perfil crie bases de conhecimento e as gerencie
Para permitir que um perfil do IAM crie uma base de conhecimento, conecte-a a um armazenamento de dados estruturados, gerencie a base de conhecimento e inicie e gerencie trabalhos de ingestão da fonte de dados na base de conhecimento, você deve fornecer permissões para as ações `KnowledgeBase`, `DataSource` e `IngestionJob`. Para fornecer permissões para atribuir tags a bases de conhecimento, inclua permissões para `bedrock:TagResource` e `bedrock:UntagResource`.
**nota**
Se o usuário ou a função tiver a política [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess) AWS gerenciada anexada, você poderá ignorar esse pré-requisito.
Para permitir que um perfil execute essas ações, anexe a seguinte política ao perfil:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateKB",
"Effect": "Allow",
"Action": [
"bedrock:CreateKnowledgeBase"
],
"Resource": "*"
},
{
"Sid": "KBDataSourceManagement",
"Effect": "Allow",
"Action": [
"bedrock:GetKnowledgeBase",
"bedrock:ListKnowledgeBases",
"bedrock:UpdateKnowledgeBase",
"bedrock:DeleteKnowledgeBase",
"bedrock:StartIngestionJob",
"bedrock:GetIngestionJob",
"bedrock:ListIngestionJobs",
"bedrock:StopIngestionJob",
"bedrock:TagResource",
"bedrock:UntagResource"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:knowledge-base/{{*}}"
]
}
]
}
```
------
Depois de criar uma base de conhecimento, recomendamos que você defina o escopo das permissões no `KBDataSourceManagement` extrato substituindo o caractere curinga ({{\*}}) pelo ID da base de conhecimento que você criou.
## Permitir que um perfil realize as operações de API da base de conhecimento
Esta seção descreve as permissões necessárias para realizar as operações de API `Retrieve` e `RetrieveAndGenerate` para as bases de conhecimento.
Anexe a seguinte política ao perfil:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GetKB",
"Effect": "Allow",
"Action": [
"bedrock:GetKnowledgeBase"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:knowledge-base/{{${KnowledgeBaseId}}}"
]
},
{
"Sid": "Retrieve",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:knowledge-base/{{${KnowledgeBaseId}}}"
]
},
{
"Sid": "RetrieveAndGenerate",
"Effect": "Allow",
"Action": [
"bedrock:RetrieveAndGenerate"
],
"Resource": [
"*"
]
}
]
}
```
------
Você pode remover instruções das quais não precisa, dependendo do caso de uso:
+ A instrução `GetKB` é usada para obter informações da base de conhecimento.
+ A instrução `Retrieve` deve chamar [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html) para recuperar dados do armazenamento de dados estruturados.
+ A instrução `RetrieveAndGenerate` deve chamar [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) para recuperar dados do armazenamento de dados estruturados e gerar respostas baseadas nos dados.
## Solicite acesso aos modelos de fundação para RetrieveAndGenerate
Se você planeja usar [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) para gerar respostas com base nos dados recuperados da fonte de dados, solicite acesso aos modelos de base a serem usados na geração seguindo as etapas em [Solicitar acesso aos modelos](model-access.md).
Para restringir ainda mais as permissões, você pode omitir ações ou especificar chaves de recurso e de condição que devem ser usadas para filtrar permissões. Para ter mais informações sobre ações, recursos e chaves de condição, consulte os tópicos a seguir na *Referência de autorização do serviço*.
+ [Ações definidas pelo Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions): saiba mais sobre as ações, os tipos de recurso para os quais é possível definir um escopo de ação no campo `Resource` e as chaves de condição nas quais você pode filtrar as permissões no campo `Condition`.
+ [Tipos de recursos definidos pelo Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies): saiba mais sobre os tipos de recurso no Amazon Bedrock.
+ [Chaves de condição para o Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys): saiba mais sobre as chaves de condição no Amazon Bedrock.