本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Amazon Bedrock 中重新排名的許可
<a name="rerank-prereq"></a>

使用者需要下列許可才能使用重新排名：
+ 他們計劃使用之重新排名模型的存取權。如需詳細資訊，請參閱[請求存取模型](model-access.md)。對於第三方模型 （例如 Cohere Rerank)，您的 IAM 角色也需要 `aws-marketplace:ViewSubscriptions`和 `aws-marketplace:Subscribe`許可。如需詳細資訊，請參閱[使用產品 ID 條件金鑰來控制存取](model-access-product-ids.md)。
+ 使用者角色的許可，如果他們計劃在 [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html) 工作流程中使用重新排名，則為與其角色具有[信任關係](kb-permissions.md#kb-permissions-trust)之 Amazon Bedrock 知識庫服務角色的許可。
**提示**  
若要快速設定所需的許可，您可以執行下列動作：  
將 [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess) AWS 受管政策連接至使用者角色。如需更多將政策連接至 IAM 角色的相關資訊，請參閱[新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
[建立知識庫](knowledge-base-create.md)時使用 Amazon Bedrock 主控台建立 Amazon Bedrock 知識庫服務角色。如果您已經有主控台為您建立的 Amazon Bedrock 知識庫服務角色，則可以在主控台中[擷取來源](kb-test-retrieve.md)時使用主控台更新角色。
**重要**  
當您以 Amazon Bedrock 知識庫服務角色在 `Retrieve` 工作流程中使用重新排名時，請注意下列事項：  
如果您手動編輯 Amazon Bedrock 為知識庫服務角色建立的 AWS Identity and Access Management (IAM) 政策，則在嘗試更新 中的許可時可能會遇到錯誤 AWS 管理主控台。若要解決此問題，請在 IAM 主控台中刪除您手動建立的政策版本。然後，在 Amazon Bedrock 主控台中重新整理重新排名器頁面，然後重新嘗試。
如果您使用自訂角色，則 Amazon Bedrock 無法代表您更新知識庫服務角色。確認已針對服務角色正確設定許可。

  如需使用案例及其所需許可的摘要，請參閱下表：  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/rerank-prereq.html)

如需您可以連接到 IAM 角色的範例許可政策，請展開與使用案例對應的區段：

## 獨立使用重新排名模型的許可政策
<a name="rerank-permissions-rerank"></a>

若要將[重新排名](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Rerank.html)直接與來源清單搭配使用，使用者角色需要可使用 `bedrock:Rerank` 和 `bedrock:InvokeModel` 動作的許可。同樣地，若要防止使用重新排名模型，您必須拒絕這兩個動作的許可。若要允許使用者角色獨立使用重新排名模型，您可以將下列政策連接至角色：

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/model-id"
            ]
        }
    ]
}
```

------

在上述政策中，對於 `bedrock:InvokeModel` 動作，您可以將許可範圍限定為您想要允許角色用於重新排名的模型。若要允許存取所有模型，請在 `Resource` 欄位中使用萬用字元 (*\$1*)。

## 用於在擷取工作流程中使用重新排名模型的許可政策
<a name="rerank-permissions-retrieve"></a>

若要在從知識庫擷取資料時使用重新排名，您必須設定下列許可：

**對於使用者角色**

使用者角色需要許可才能使用 `bedrock:Retrieve` 動作。若要允許使用者角色從知識庫擷取資料，您可以將下列政策連接至角色：

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RetrieveSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
            ]
        }
    ]
}
```

------

在上述政策中，對於 `bedrock:Retrieve` 動作，您可以將許可範圍限定為您想要允許角色擷取其資訊的知識庫。若要允許存取所有知識庫，您可以在 `Resource` 欄位中使用萬用字元 (*\$1*)。

**對於服務角色**

使用者使用的 [Amazon Bedrock 知識庫服務角色](kb-permissions.md)需要許可才能使用 `bedrock:Rerank` 和 `bedrock:InvokeModel` 動作。當您[設定知識庫擷取](kb-test-retrieve.md)時，若您選擇重新排名模型，則您可以使用 Amazon Bedrock 主控台以自動為您的服務角色設定許可。否則，若要允許服務角色在擷取期間將來源重新排名，您可以連接下列政策：

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId"
        }
    ]
}
```

------

在上述政策中，對於 `bedrock:InvokeModel` 動作，您可以將許可範圍限定為您想要允許角色用於重新排名的模型。若要允許存取所有模型，您可以在 `Resource` 欄位中使用萬用字元 (\$1)。

## 在 RetrieveAndGenerate 工作流程中使用重新排名模型的許可政策
<a name="rerank-permissions-retrieve-and-generate"></a>

若要在從知識庫擷取資料，之後根據擷取的結果產生回應時使用重新排名器模型，使用者角色需要使用 `bedrock:RetrieveAndGenerate`、`bedrock:Rerank` 和 `bedrock:InvokeModel` 動作的許可。若要允許在擷取期間重新排序來源，並允許根據結果產生回應，您可以將下列政策連接至使用者角色：

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RerankRetrieveAndGenerateSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:Rerank",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InvokeModelSid",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/RerankModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/GenerationModelId}"
            ]
        }
    ]
}
```

------

在上述政策中，對於 `bedrock:InvokeModel` 操作，您可以將許可範圍限定為您想要允許角色用於重新排名的模型，以及您想要允許角色用於產生回應的模型。若要允許存取所有模型，您可以在 `Resource` 欄位中使用萬用字元 (*\$1*)。

若要進一步限制許可，您可以忽略動作，也可以指定要篩選許可的資源和條件索引鍵。如需動作、資源和條件索引鍵的詳細資訊，請參閱*服務授權參考*中的下列主題：
+ [Amazon Bedrock 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) – 了解動作、您可以在 `Resource` 欄位中限制其範圍的資源類型，以及您可以在 `Condition` 欄位中篩選許可的條件索引鍵。
+ [Amazon Bedrock 定義的資源類型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) – 了解 Amazon Bedrock 中的資源類型。
+ [Amazon Bedrock 的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) – 了解 Amazon Bedrock 中的條件索引鍵。