本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
選取主題以查看您可以連接到 IAM 角色的範例 IAM 政策,以佈建 中動作的許可使用 AI 代理程式自動化應用程式中的任務。
Amazon Bedrock 代理程式的必要許可
若要讓 IAM 身分使用 Amazon Bedrock Agents,您必須使用必要的許可來設定它。您可以連接 AmazonBedrockFullAccess 政策,將適當的許可授予角色。
若要限制許可僅限於 Amazon Bedrock Agents 中使用的動作,請將下列身分型政策連接至 IAM 角色:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Amazon Bedrock Agents permissions",
"Effect": "Allow",
"Action": [
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModel",
"bedrock:TagResource",
"bedrock:UntagResource",
"bedrock:ListTagsForResource",
"bedrock:CreateAgent",
"bedrock:UpdateAgent",
"bedrock:GetAgent",
"bedrock:ListAgents",
"bedrock:DeleteAgent",
"bedrock:CreateAgentActionGroup",
"bedrock:UpdateAgentActionGroup",
"bedrock:GetAgentActionGroup",
"bedrock:ListAgentActionGroups",
"bedrock:DeleteAgentActionGroup",
"bedrock:GetAgentVersion",
"bedrock:ListAgentVersions",
"bedrock:DeleteAgentVersion",
"bedrock:CreateAgentAlias",
"bedrock:UpdateAgentAlias",
"bedrock:GetAgentAlias",
"bedrock:ListAgentAliases",
"bedrock:DeleteAgentAlias",
"bedrock:AssociateAgentKnowledgeBase",
"bedrock:DisassociateAgentKnowledgeBase",
"bedrock:GetKnowledgeBase",
"bedrock:ListKnowledgeBases",
"bedrock:PrepareAgent",
"bedrock:InvokeAgent"
],
"Resource": "*"
}
]
}您可以省略動作或指定資源和條件索引鍵,進一步限制許可。IAM 身分可以呼叫特定資源的 API 操作。例如, UpdateAgent操作只能用於代理程式資源,而 InvokeAgent操作只能用於別名資源。對於未用於特定資源類型的 API 操作 (例如 CreateAgent),請將 * 指定為 Resource。如果您指定的 API 操作無法在政策中指定的資源上使用,Amazon Bedrock 會傳回錯誤。
允許使用者檢視和叫用代理程式的相關資訊
以下是您可以連接至 IAM 角色的範例政策,以允許其檢視或編輯 ID AGENT12345 的客服人員相關資訊,以及與其別名與 ID ALIAS12345 互動。例如,您可以將此政策連接至您只想要擁有許可來對客服人員進行疑難排解和更新的角色。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Get information about and update an agent",
"Effect": "Allow",
"Action": [
"bedrock:GetAgent",
"bedrock:UpdateAgent"
],
"Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345"
},
{
"Sid": "Invoke an agent",
"Effect": "Allow",
"Action": [
"bedrock:InvokeAgent"
],
"Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345"
},
]
}