As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplos de políticas baseadas em identidade para Amazon Bedrock Agents

Selecione um tópico para ver exemplos de IAM políticas que você pode anexar a uma IAM função para provisionar permissões para ações emAutomatize tarefas em seu aplicativo usando agentes conversacionais.

Permissões necessárias para Amazon Bedrock Agents

Para que uma IAM identidade use os Amazon Bedrock Agents, você deve configurá-la com as permissões necessárias. Você pode anexar a AmazonBedrockFullAccesspolítica para conceder as permissões adequadas à função.

Para restringir as permissões somente às ações que são usadas nos Amazon Bedrock Agents, anexe a seguinte política baseada em identidade a uma função: IAM

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Amazon Bedrock Agents permissions",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource", 
                "bedrock:CreateAgent", 
                "bedrock:UpdateAgent", 
                "bedrock:GetAgent", 
                "bedrock:ListAgents", 
                "bedrock:DeleteAgent",
                "bedrock:CreateAgentActionGroup", 
                "bedrock:UpdateAgentActionGroup", 
                "bedrock:GetAgentActionGroup", 
                "bedrock:ListAgentActionGroups", 
                "bedrock:DeleteAgentActionGroup",
                "bedrock:GetAgentVersion",
                "bedrock:ListAgentVersions", 
                "bedrock:DeleteAgentVersion",
                "bedrock:CreateAgentAlias", 
                "bedrock:UpdateAgentAlias",               
                "bedrock:GetAgentAlias",
                "bedrock:ListAgentAliases",
                "bedrock:DeleteAgentAlias",
                "bedrock:AssociateAgentKnowledgeBase",
                "bedrock:DisassociateAgentKnowledgeBase",
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:PrepareAgent",
                "bedrock:InvokeAgent"
            ],
            "Resource": "*"
        }
    ]   
}

Você pode restringir ainda mais as permissões omitindo ações ou especificando recursos e chaves de condição. Uma IAM identidade pode chamar API operações em recursos específicos. Por exemplo, as receitas UpdateAgenta operação só pode ser usada em recursos do agente e no InvokeAgenta operação só pode ser usada em recursos de alias. Para API operações que não são usadas em um tipo de recurso específico (como CreateAgent), especifique * como Resource o. Se você especificar uma API operação que não pode ser usada no recurso especificado na política, o Amazon Bedrock retornará um erro.

Permitir que os usuários visualizem informações e invoquem um agente

Veja a seguir um exemplo de política que você pode anexar a uma IAM função para permitir que ela visualize informações sobre ou edite um agente com a ID. AGENT12345 e para interagir com seu alias com o ID ALIAS12345. Por exemplo, você pode anexar essa política a uma função que deseja ter apenas permissões para solucionar problemas com um agente e atualizá-lo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Get information about and update an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetAgent",
                "bedrock:UpdateAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345"
        },
        {
            "Sid": "Invoke an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345"
        },
    ]
}