As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplos de políticas baseadas em identidade para agentes do Amazon Bedrock

Selecione um tópico para ver exemplos de políticas do IAM que você pode anexar a uma função do IAM para provisionar permissões para ações emAgentes para Amazon Bedrock.

Permissões necessárias para agentes do Amazon Bedrock

Para que uma identidade do IAM use Agents for Amazon Bedrock, você deve configurá-la com as permissões necessárias. Você pode anexar a AmazonBedrockFullAccesspolítica para conceder as permissões adequadas à função.

Para restringir as permissões somente às ações que são usadas em Agents for Amazon Bedrock, anexe a seguinte política baseada em identidade a uma função do IAM:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Agents for Amazon Bedrock permissions",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource", 
                "bedrock:CreateAgent", 
                "bedrock:UpdateAgent", 
                "bedrock:GetAgent", 
                "bedrock:ListAgents", 
                "bedrock:DeleteAgent",
                "bedrock:CreateAgentActionGroup", 
                "bedrock:UpdateAgentActionGroup", 
                "bedrock:GetAgentActionGroup", 
                "bedrock:ListAgentActionGroups", 
                "bedrock:DeleteAgentActionGroup",
                "bedrock:GetAgentVersion",
                "bedrock:ListAgentVersions", 
                "bedrock:DeleteAgentVersion",
                "bedrock:CreateAgentAlias", 
                "bedrock:UpdateAgentAlias",               
                "bedrock:GetAgentAlias",
                "bedrock:ListAgentAliases",
                "bedrock:DeleteAgentAlias",
                "bedrock:AssociateAgentKnowledgeBase",
                "bedrock:DisassociateAgentKnowledgeBase",
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:PrepareAgent",
                "bedrock:InvokeAgent"
            ],
            "Resource": "*"
        }
    ]   
}

Você pode restringir ainda mais as permissões omitindo ações ou especificando recursos e chaves de condição. Uma identidade do IAM pode chamar operações de API em recursos específicos. Por exemplo, a UpdateAgentoperação só pode ser usada em recursos do agente e a InvokeAgentoperação só pode ser usada em recursos de alias. Para operações de API que não são usadas em um tipo de recurso específico (como CreateAgent), especifique * como Resource o. Se você especificar uma operação de API que não pode ser usada no recurso especificado na política, o Amazon Bedrock retornará um erro.

Permitir que os usuários visualizem informações e invoquem um agente

Veja a seguir um exemplo de política que você pode anexar a uma função do IAM para permitir que ela visualize informações sobre ou edite um agente com a ID AGENT12345 e interaja com seu alias com a ID ALIAS12345. Por exemplo, você pode anexar essa política a uma função que deseja ter apenas permissões para solucionar problemas com um agente e atualizá-lo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Get information about and update an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetAgent",
                "bedrock:UpdateAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345"
        },
        {
            "Sid": "Invoke an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345"
        },
    ]
}