Amazon Bedrock 代理基于身份的策略示例
选择一个主题,查看可以附加到 IAM 角色的 IAM 策略示例,以便为 使用对话代理自动执行应用程序中的任务 中的操作预置权限。
Amazon Bedrock 代理所需的权限
要让 IAM 身份能够使用 Amazon Bedrock 代理,您必须为其配置必要的权限。您可以附加 AmazonBedrockFullAccess 策略,以便向角色授予适当的权限。
要将权限限制为仅用于 Amazon Bedrock 代理中的操作,请将以下基于身份的策略附加到 IAM 角色:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Amazon Bedrock Agents permissions", "Effect": "Allow", "Action": [ "bedrock:ListFoundationModels", "bedrock:GetFoundationModel", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource", "bedrock:CreateAgent", "bedrock:UpdateAgent", "bedrock:GetAgent", "bedrock:ListAgents", "bedrock:DeleteAgent", "bedrock:CreateAgentActionGroup", "bedrock:UpdateAgentActionGroup", "bedrock:GetAgentActionGroup", "bedrock:ListAgentActionGroups", "bedrock:DeleteAgentActionGroup", "bedrock:GetAgentVersion", "bedrock:ListAgentVersions", "bedrock:DeleteAgentVersion", "bedrock:CreateAgentAlias", "bedrock:UpdateAgentAlias", "bedrock:GetAgentAlias", "bedrock:ListAgentAliases", "bedrock:DeleteAgentAlias", "bedrock:AssociateAgentKnowledgeBase", "bedrock:DisassociateAgentKnowledgeBase", "bedrock:GetKnowledgeBase", "bedrock:ListKnowledgeBases", "bedrock:PrepareAgent", "bedrock:InvokeAgent" ], "Resource": "*" } ] }
您可以通过省略操作或指定资源和条件键来进一步限制权限。IAM 身份可以对特定资源调用 API 操作。例如,UpdateAgent 操作只能用于代理资源,InvokeAgent 操作只能用于别名资源。对于不在特定资源类型上使用的 API 操作(例如 CreateAgent),请将 Resource 指定为 *。如果您指定的 API 操作无法用于策略中指定的资源,Amazon Bedrock 将返回错误。
允许用户查看关于代理的信息并调用代理
以下是一项示例策略,您可以将其附加到 IAM 角色,允许该角色查看关于 ID 为 AGENT12345 的代理的信息或对其进行编辑,并与 ID 为 ALIAS12345 的代理别名进行交互。例如,您可以将该策略附加到仅具有对代理进行问题排查和更新的权限的角色。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Get information about and update an agent", "Effect": "Allow", "Action": [ "bedrock:GetAgent", "bedrock:UpdateAgent" ], "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345" }, { "Sid": "Invoke an agent", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent" ], "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345" }, ] }
