本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
適用於 Amazon 基岩的代理程式基於身分識別的政策範例
選取主題以查看可附加至 IAM 角色的 IAM 政策範例,以便在中佈建動作的許可適用於 Amazon Bedrock 的代理程式。
Amazon 基岩的代理程式所需的許可
若要讓 IAM 身分使用適用於 Amazon 基岩的代理程式,您必須使用必要的許可進行設定。您可以附加AmazonBedrockFullAccess原則,將適當的權限授與角色。
若要將許可限制為僅在 Amazon 基岩代理程式中使用的動作,請將以下身分型政策附加到 IAM 角色:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Agents for Amazon Bedrock permissions", "Effect": "Allow", "Action": [ "bedrock:ListFoundationModels", "bedrock:GetFoundationModel", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource", "bedrock:CreateAgent", "bedrock:UpdateAgent", "bedrock:GetAgent", "bedrock:ListAgents", "bedrock:DeleteAgent", "bedrock:CreateAgentActionGroup", "bedrock:UpdateAgentActionGroup", "bedrock:GetAgentActionGroup", "bedrock:ListAgentActionGroups", "bedrock:DeleteAgentActionGroup", "bedrock:GetAgentVersion", "bedrock:ListAgentVersions", "bedrock:DeleteAgentVersion", "bedrock:CreateAgentAlias", "bedrock:UpdateAgentAlias", "bedrock:GetAgentAlias", "bedrock:ListAgentAliases", "bedrock:DeleteAgentAlias", "bedrock:AssociateAgentKnowledgeBase", "bedrock:DisassociateAgentKnowledgeBase", "bedrock:GetKnowledgeBase", "bedrock:ListKnowledgeBases", "bedrock:PrepareAgent", "bedrock:InvokeAgent" ], "Resource": "*" } ] }
您可以省略動作或指定資源和條件索引鍵,進一步限制權限。IAM 身分可以針對特定資源呼叫 API 作業。例如,UpdateAgent作業只能在代理程式資源上使用,而且只能在別名資源上使用此InvokeAgent作業。對於特定資源類型 (例如 CreateAgent) 未使用的 API 作業,請將 * 指定為Resource. 如果您指定的 API 作業無法用於政策中指定的資源,Amazon 基岩會傳回錯誤。
允許使用者檢視代理程式的相關資訊及呼叫
以下是一個範例政策,您可以附加至 IAM 角色,以便使用 ID AGENT12345 檢視代理程式的相關資訊或編輯代理程式,並與其別名與 ID ALIAS12345 互動。例如,您可以將此原則附加至您想要只有權限對代理程式進行疑難排解並進行更新的角色。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Get information about and update an agent", "Effect": "Allow", "Action": [ "bedrock:GetAgent", "bedrock:UpdateAgent" ], "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345" }, { "Sid": "Invoke an agent", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent" ], "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345" }, ] }
