As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Permissões para reclassificação no Amazon Bedrock
<a name="rerank-prereq"></a>

Um usuário precisa das seguintes permissões para usar a reclassificação:
+ Acesso aos modelos de reclassificação que eles planejam usar. Para obter mais informações, consulte [Acessar modelos de base do Amazon Bedrock](model-access.md).
+ Permissões para o respectivo perfil e, se planejarem usar a reclassificação em um fluxo de trabalho [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html), permissões para o perfil de serviço das Bases de Conhecimento do Amazon Bedrock que tem uma [relação de confiança](kb-permissions.md#kb-permissions-trust) com o respectivo perfil.
**dica**  
Para configurar as permissões necessárias rapidamente, você pode fazer o seguinte:  
Anexe a política [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)AWSgerenciada à função do usuário. Para ter informações sobre como anexar uma política a um perfil do IAM, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
Use o console do Amazon Bedrock para criar um perfil de serviço das Bases de Conhecimento do Amazon Bedrock ao [criar uma base de conhecimento](knowledge-base-create.md). Se você já tiver um perfil de serviço das Bases de Conhecimento do Amazon Bedrock criado pelo console, poderá usar o console para atualizá-la ao [recuperar fontes](kb-test-retrieve.md) no console.
**Importante**  
Ao usar a reclassificação em um fluxo de trabalho `Retrieve` com um perfil de serviço das Bases de Conhecimento do Amazon Bedrock, observe o seguinte:  
Se você editar manualmente a política AWS Identity and Access Management (IAM) que o Amazon Bedrock criou para sua função de serviço da base de conhecimento, poderá encontrar erros ao tentar atualizar as permissões noConsole de gerenciamento da AWS. Para resolver esse problema, no console do IAM, exclua a versão da política que você criou manualmente. Em seguida, atualize a página do reclassificador no console do Amazon Bedrock e tente novamente.
Se você usa um perfil personalizado, o Amazon Bedrock não pode atualizar o perfil de serviço da base de conhecimento em seu nome. Verifique se as permissões estão configuradas corretamente para o perfil de serviço.

  Para ver um resumo dos casos de uso e das permissões necessárias para eles, consulte a seguinte tabela:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/bedrock/latest/userguide/rerank-prereq.html)

Para ver exemplos de política de permissões que você pode anexar a um perfil do IAM, expanda a seção que corresponde ao caso de uso:

## Política de permissões para usar um modelo de reclassificação de forma independente
<a name="rerank-permissions-rerank"></a>

Para usar a [Rerank](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Rerank.html) diretamente com uma lista de fontes, o perfil do usuário precisa de permissões para usar as ações `bedrock:Rerank` e`bedrock:InvokeModel`. Da mesma forma, para evitar o uso de um modelo de reclassificação, você deve negar permissões para ambas as ações. Para permitir que o perfil de usuário use um modelo de reclassificação de forma independente, você poderá anexar a seguinte política ao perfil:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/model-id"
            ]
        }
    ]
}
```

------

Na política anterior, para a ação `bedrock:InvokeModel`, você define o escopo das permissões para os modelos que deseja permitir que o perfil use para reclassificação. Para permitir o acesso a todos os modelos, use um curinga (*\$1*) no `Resource` campo.

## Políticas de permissões para usar um modelo de reclassificação em um fluxo de trabalho Retrieve
<a name="rerank-permissions-retrieve"></a>

Para usar a reclassificação ao recuperar dados de uma base de conhecimento, é necessário configurar as seguintes permissões:

**Para o perfil de usuário**

O perfil de usuário precisa de permissões para usar a ação `bedrock:Retrieve`. Para permitir que o perfil de usuário recupere dados de uma base de conhecimento, você pode anexar a seguinte política ao perfil:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
            ]
        }
    ]
}
```

------

Na política anterior, para a ação `bedrock:Retrieve`, você define o escopo das permissões para as bases de conhecimento das quais deseja permitir que o perfil recupere informações. Para permitir o acesso a todas as bases de conhecimento, você pode usar um curinga (*\$1*) no `Resource` campo.

**Para o perfil de serviço**

O [perfil de serviço das Bases de Conhecimento do Amazon Bedrock](kb-permissions.md) que o usuário usa precisa de permissões para usar as ações `bedrock:Rerank` e `bedrock:InvokeModel`. Você pode usar o console do Amazon Bedrock para configurar automaticamente as permissões para seu perfil de serviço ao escolher um modelo de reclassificação e [configurar a recuperação da base de conhecimento](kb-test-retrieve.md). Do contrário, para permitir que o perfil de serviço reclassifique as fontes durante a recuperação, você poderá anexar a seguinte política:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId"
        }
    ]
}
```

------

Na política anterior, para a ação `bedrock:InvokeModel`, você define o escopo das permissões para os modelos que deseja permitir que o perfil use para reclassificação. Para permitir o acesso a todos os modelos, você pode usar um caractere curinga (\$1) no campo `Resource`.

## Política de permissões para usar um modelo de reclassificação em um fluxo de trabalho RetrieveAndGenerate
<a name="rerank-permissions-retrieve-and-generate"></a>

Para usar um modelo reclassificador ao recuperar dados de uma base de conhecimento e, posteriormente, gerar respostas com base nos resultados recuperados, o perfil de usuário precisa de permissões para usar as ações `bedrock:RetrieveAndGenerate`, `bedrock:Rerank` e `bedrock:InvokeModel`. Para permitir a reclassificação das fontes durante a recuperação e a geração de respostas com base nos resultados, você pode anexar a seguinte política ao perfil de usuário:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankRetrieveAndGenerateSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/GenerationModelId}"
            ]
        }
    ]
}
```

------

Na política anterior, para a operação `bedrock:InvokeModel`, você define o escopo das permissões para os modelos que deseja permitir que o perfil use para reclassificação e para os modelos que você deseja permitir que o perfil use para gerar respostas. Para permitir o acesso a todos os modelos, você pode usar um curinga (*\$1*) no `Resource` campo.

Para restringir ainda mais as permissões, você pode omitir ações ou especificar chaves de recurso e de condição que devem ser usadas para filtrar permissões. Para ter mais informações sobre ações, recursos e chaves de condição, consulte os tópicos a seguir na *Referência de autorização do serviço*.
+ [Ações definidas pelo Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions): saiba mais sobre as ações, os tipos de recurso para os quais é possível definir um escopo de ação no campo `Resource` e as chaves de condição nas quais você pode filtrar as permissões no campo `Condition`.
+ [Tipos de recursos definidos pelo Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies): saiba mais sobre os tipos de recurso no Amazon Bedrock.
+ [Chaves de condição para o Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys): saiba mais sobre as chaves de condição no Amazon Bedrock.