Amazon Bedrock 代理基于身份的策略示例 - Amazon Bedrock
Amazon Bedrock 代理所需的权限允许用户查看有关代理的信息并调用代理

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Bedrock 代理基于身份的策略示例

选择一个主题以查看您可以附加到 IAM 角色的 IAM 策略示例,以便为中的操作配置权限Agents for Amazon Bedrock

Amazon Bedrock 代理所需的权限

要让 IAM 身份使用适用于 Amazon Bedrock 的代理,您必须为其配置必要的权限。您可以附加AmazonBedrockFullAccess策略以向该角色授予适当的权限。

要将权限限制为仅限在 Amazon Bedrock 代理中使用的操作,请将以下基于身份的策略附加到 IAM 角色:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Agents for Amazon Bedrock permissions",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource", 
                "bedrock:CreateAgent", 
                "bedrock:UpdateAgent", 
                "bedrock:GetAgent", 
                "bedrock:ListAgents", 
                "bedrock:DeleteAgent",
                "bedrock:CreateAgentActionGroup", 
                "bedrock:UpdateAgentActionGroup", 
                "bedrock:GetAgentActionGroup", 
                "bedrock:ListAgentActionGroups", 
                "bedrock:DeleteAgentActionGroup",
                "bedrock:GetAgentVersion",
                "bedrock:ListAgentVersions", 
                "bedrock:DeleteAgentVersion",
                "bedrock:CreateAgentAlias", 
                "bedrock:UpdateAgentAlias",               
                "bedrock:GetAgentAlias",
                "bedrock:ListAgentAliases",
                "bedrock:DeleteAgentAlias",
                "bedrock:AssociateAgentKnowledgeBase",
                "bedrock:DisassociateAgentKnowledgeBase",
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:PrepareAgent",
                "bedrock:InvokeAgent"
            ],
            "Resource": "*"
        }
    ]   
}

您可以通过省略操作或指定资源条件键来进一步限制权限。IAM 身份可以对特定资源调用 API 操作。例如,该UpdateAgent操作只能在代理资源上使用,而该InvokeAgent操作只能在别名资源上使用。对于未在特定资源类型上使用的 API 操作(例如 CreateAgent),请将* 指定为Resource。如果您指定的 API 操作不能用于策略中指定的资源,Amazon Bedrock 将返回错误。

允许用户查看有关代理的信息并调用代理

以下是您可以附加到 IAM 角色的示例策略,以允许该角色查看有关编号为 AGENT12345 的代理的信息或编辑,以及与 ID 为 ALIAS12345 的代理的别名进行交互。例如,您可以将此策略附加到您只想拥有代理故障排除和更新代理的权限的角色。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Get information about and update an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetAgent",
                "bedrock:UpdateAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345"
        },
        {
            "Sid": "Invoke an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345"
        },
    ]
}