Exemplos de políticas baseadas em identidade do Amazon Bedrock Agents

Selecione um tópico para ver exemplos de políticas do IAM que você pode anexar a um perfil do IAM para provisionar permissões para ações em Automatizar tarefas na aplicação usando agentes de conversação.

Permissões necessárias para o Amazon Bedrock Agents

Para que uma identidade do IAM use o Amazon Bedrock Agents, configure-a com as permissões necessárias. É possível anexar a política AmazonBedrockFullAccess para conceder as permissões adequadas ao perfil.

Para restringir as permissões somente às ações usadas no Amazon Bedrock Agents, anexe a seguinte política baseada em identidade a um perfil do IAM:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Amazon Bedrock Agents permissions",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource", 
                "bedrock:CreateAgent", 
                "bedrock:UpdateAgent", 
                "bedrock:GetAgent", 
                "bedrock:ListAgents", 
                "bedrock:DeleteAgent",
                "bedrock:CreateAgentActionGroup", 
                "bedrock:UpdateAgentActionGroup", 
                "bedrock:GetAgentActionGroup", 
                "bedrock:ListAgentActionGroups", 
                "bedrock:DeleteAgentActionGroup",
                "bedrock:GetAgentVersion",
                "bedrock:ListAgentVersions", 
                "bedrock:DeleteAgentVersion",
                "bedrock:CreateAgentAlias", 
                "bedrock:UpdateAgentAlias",               
                "bedrock:GetAgentAlias",
                "bedrock:ListAgentAliases",
                "bedrock:DeleteAgentAlias",
                "bedrock:AssociateAgentKnowledgeBase",
                "bedrock:DisassociateAgentKnowledgeBase",
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:PrepareAgent",
                "bedrock:InvokeAgent"
            ],
            "Resource": "*"
        }
    ]   
}

É possível restringir ainda mais as permissões omitindo ações ou especificando recursos e chaves de condição. Uma identidade do IAM pode chamar operações de API em recursos específicos. Por exemplo, a operação UpdateAgent só pode ser usada em recursos de agente, e a ação InvokeAgent só pode ser usada em recursos de alias. Para operações de API que não são usadas em um tipo de recurso específico (como CreateAgent), especifique * como o Resource. Se você especificar uma operação de API que não pode ser usada no recurso especificado na política, o Amazon Bedrock retornará um erro.

Permitir que os usuários visualizem informações e invoquem um agente

Veja a seguir um exemplo de política que você pode anexar a um perfil do IAM para permitir que o perfil visualize informações sobre um agente ou o edite com o ID AGENT12345 e interaja com o respectivo alias com o ID ALIAS12345. Por exemplo, você pode anexar essa política a um perfil que deseja ter apenas permissões para solucionar problemas com um agente e atualizá-lo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Get information about and update an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetAgent",
                "bedrock:UpdateAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345"
        },
        {
            "Sid": "Invoke an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345"
        },
    ]
}