本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon 基岩代理程式的身分型政策範例
選取主題以查看可附加至IAM角色的範例IAM原則,以便在中佈建動作的權限使用 AI 代理程式自動化應用程式中的任務。
Amazon 基岩代理程式所需的許可
若要使用 Amazon 基岩代理程式的IAM身分,您必須使用必要的許可進行設定。您可以附加AmazonBedrockFullAccess原則,將適當的權限授與角色。
若要將許可限制為僅在 Amazon 基岩代理程式中使用的動作,請將以下身分型政策附加到角色:IAM
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Amazon Bedrock Agents permissions", "Effect": "Allow", "Action": [ "bedrock:ListFoundationModels", "bedrock:GetFoundationModel", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource", "bedrock:CreateAgent", "bedrock:UpdateAgent", "bedrock:GetAgent", "bedrock:ListAgents", "bedrock:DeleteAgent", "bedrock:CreateAgentActionGroup", "bedrock:UpdateAgentActionGroup", "bedrock:GetAgentActionGroup", "bedrock:ListAgentActionGroups", "bedrock:DeleteAgentActionGroup", "bedrock:GetAgentVersion", "bedrock:ListAgentVersions", "bedrock:DeleteAgentVersion", "bedrock:CreateAgentAlias", "bedrock:UpdateAgentAlias", "bedrock:GetAgentAlias", "bedrock:ListAgentAliases", "bedrock:DeleteAgentAlias", "bedrock:AssociateAgentKnowledgeBase", "bedrock:DisassociateAgentKnowledgeBase", "bedrock:GetKnowledgeBase", "bedrock:ListKnowledgeBases", "bedrock:PrepareAgent", "bedrock:InvokeAgent" ], "Resource": "*" } ] }
您可以省略動作或指定資源和條件索引鍵,進一步限制權限。IAM身分識別可以呼叫特定資源的API作業。例如,UpdateAgent作業只能用於代理程式資源和 InvokeAgent操作只能在別名資源上使用。對於未在特定資源類型上使用的API操作(例如 CreateAgent) 中,指定 * 做為Resource。如果您指定的API作業無法用於政策中指定的資源,Amazon 基岩會傳回錯誤。
允許使用者檢視代理程式的相關資訊及呼叫
以下是您可以附加至IAM角色的範例原則,以便檢視或編輯具有該 ID 之代理程式的相關資訊 AGENT12345 並與其 ID 的別名進行交互 ALIAS12345。 例如,您可以將此原則附加至您想要只有權限對代理程式進行疑難排解並進行更新的角色。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Get information about and update an agent", "Effect": "Allow", "Action": [ "bedrock:GetAgent", "bedrock:UpdateAgent" ], "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345" }, { "Sid": "Invoke an agent", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent" ], "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345" }, ] }
