本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Bedrock Agents 基于身份的策略示例
选择一个主题以查看示例IAM策略,您可以将这些策略附加到IAM角色以配置中操作的权限使用对话代理自动执行应用程序中的任务。
亚马逊 Bedrock Agents 所需的权限
要使IAM身份能够使用 Amazon Bedrock Agents,您必须为其配置必要的权限。您可以附加AmazonBedrockFullAccess策略以向该角色授予适当的权限。
要将权限限制为仅限在 Amazon Bedrock Agents 中使用的操作,请将以下基于身份的策略附加到角色:IAM
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Amazon Bedrock Agents permissions", "Effect": "Allow", "Action": [ "bedrock:ListFoundationModels", "bedrock:GetFoundationModel", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource", "bedrock:CreateAgent", "bedrock:UpdateAgent", "bedrock:GetAgent", "bedrock:ListAgents", "bedrock:DeleteAgent", "bedrock:CreateAgentActionGroup", "bedrock:UpdateAgentActionGroup", "bedrock:GetAgentActionGroup", "bedrock:ListAgentActionGroups", "bedrock:DeleteAgentActionGroup", "bedrock:GetAgentVersion", "bedrock:ListAgentVersions", "bedrock:DeleteAgentVersion", "bedrock:CreateAgentAlias", "bedrock:UpdateAgentAlias", "bedrock:GetAgentAlias", "bedrock:ListAgentAliases", "bedrock:DeleteAgentAlias", "bedrock:AssociateAgentKnowledgeBase", "bedrock:DisassociateAgentKnowledgeBase", "bedrock:GetKnowledgeBase", "bedrock:ListKnowledgeBases", "bedrock:PrepareAgent", "bedrock:InvokeAgent" ], "Resource": "*" } ] }
您可以通过省略操作或指定资源和条件键来进一步限制权限。IAM身份可以调用对特定资源的API操作。例如,UpdateAgent操作只能在代理资源上使用,而且 InvokeAgent操作只能在别名资源上使用。用于未在特定资源类型上使用的API操作(例如 CreateAgent),请将* 指定为Resource。如果您指定的API操作不能对策略中指定的资源使用,Amazon Bedrock 将返回错误。
允许用户查看有关代理的信息并调用代理
以下是可以附加到角色的示例策略,以允许该IAM角色查看有关代理的信息或编辑具有 ID 的代理 AGENT12345 并使用其别名与 ID 进行交互 ALIAS12345。 例如,您可以将此策略附加到您只想拥有代理故障排除和更新代理的权限的角色。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Get information about and update an agent", "Effect": "Allow", "Action": [ "bedrock:GetAgent", "bedrock:UpdateAgent" ], "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345" }, { "Sid": "Invoke an agent", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent" ], "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345" }, ] }
