View a markdown version of this page

Eine Servicerolle für verwaltete Amazon Bedrock Knowledge Bases erstellen - Amazon Bedrock
VertrauensstellungBerechtigungen für den Zugriff auf Amazon-Bedrock-ModelleBerechtigungen für den Zugriff auf Ihre Datenquellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine Servicerolle für verwaltete Amazon Bedrock Knowledge Bases erstellen

Um eine benutzerdefinierte Rolle für eine verwaltete Wissensdatenbank anstelle der Rolle zu verwenden, die Amazon Bedrock automatisch erstellt, erstellen Sie eine IAM-Rolle und fügen Sie die folgenden Berechtigungen hinzu, indem Sie die Schritte unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen Service befolgen. AWS Geben Sie nur die Berechtigungen an, die für Ihre eigene Sicherheit erforderlich sind.

Anmerkung

Eine Richtlinie kann nicht von mehreren Rollen gemeinsam genutzt werden, wenn die Servicerolle verwendet wird.

  • Vertrauensstellung

  • Zugriff auf die Amazon-Bedrock-Basismodelle

  • Zugriff auf die Datenquelle, in der Sie Ihre Daten speichern

Vertrauensstellung

Die folgende Richtlinie ermöglicht es Amazon Bedrock, diese Rolle zu übernehmen und Wissensdatenbanken zu erstellen und zu verwalten. Sie können den Geltungsbereich der Berechtigung einschränken, indem Sie einen oder mehrere globale Bedingungskontextschlüssel verwenden. Weitere Informationen finden Sie unter Globale AWS -Bedingungskontextschlüssel. Legen Sie den Wert aws:SourceAccount auf Ihre Konto-ID fest. Verwenden Sie die Bedingung ArnEquals oder ArnLike, um den Geltungsbereich auf bestimmte Wissensdatenbanken zu beschränken.

Anmerkung

Aus Sicherheitsgründen empfiehlt es sich, diese durch spezifische * Wissensdatenbank-IDs zu ersetzen, nachdem Sie sie erstellt haben.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
                }
            }
        }
    ]
}

Berechtigungen für den Zugriff auf Amazon-Bedrock-Modelle

Fügen Sie die folgende Richtlinie hinzu, um der Rolle Berechtigungen zu erteilen, damit sie Amazon Bedrock für die Einbettung Ihrer Quelldaten verwenden kann.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:ListFoundationModels",
                "bedrock:ListCustomModels"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/amazon.titan-embed-text-v1",
                "arn:aws:bedrock:us-east-1::foundation-model/cohere.embed-english-v3",
                "arn:aws:bedrock:us-east-1::foundation-model/cohere.embed-multilingual-v3"
            ]
        }
    ]
}

Berechtigungen für den Zugriff auf Ihre Datenquellen

Wählen Sie aus den folgenden Datenquellen aus, um die erforderlichen Berechtigungen für die Rolle zu verknüpfen.

Berechtigungen für den Zugriff auf Ihre Datenquellen in Amazon S3

Wenn Ihre Datenquelle in Amazon S3 ist, fügen Sie die folgende Richtlinie hinzu, um der Rolle Berechtigungen für den Zugriff auf den S3-Bucket zu erteilen, zu dem Sie als Datenquelle eine Verbindung herstellen.

Wenn Sie die Datenquelle mit einem AWS KMS Schlüssel verschlüsselt haben, fügen Sie der Rolle Berechtigungen zum Entschlüsseln des Schlüssels zu, indem Sie die Schritte unter Berechtigungen zum Entschlüsseln Ihrer AWS KMS Schlüssel für Ihre Datenquellen in Amazon S3 ausführen.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "S3ListBucketStatement",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        },
        {
            "Sid": "S3GetObjectStatement",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}

Berechtigungen für den Zugriff auf Ihre Confluence-Datenquelle

Fügen Sie die folgende Richtlinie hinzu, um der Rolle Berechtigungen für den Zugriff auf Confluence zu erteilen.

Anmerkung

secretsmanager:PutSecretValue ist nur erforderlich, wenn Sie die OAuth 2.0-Authentifizierung mit einem Aktualisierungstoken verwenden.

Das OAuth2.0 Confluence-Zugriffstoken hat eine Standardablaufzeit von 60 Minuten. Wenn dieses Token abläuft, während Ihre Datenquelle synchronisiert wird (Synchronisierungsauftrag), verwendet Amazon Bedrock das bereitgestellte Aktualisierungstoken, um dieses Token neu zu generieren. Bei dieser Regenerierung werden sowohl die Zugriffs- als auch die Aktualisierungstoken aktualisiert. Um die Token vom aktuellen Synchronisierungsauftrag bis zum nächsten Synchronisierungsauftrag auf dem neuesten Stand zu halten, benötigt Amazon Bedrock write/put Berechtigungen für Ihre geheimen Anmeldeinformationen.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}

Berechtigungen für den Zugriff auf Ihre SharePoint Microsoft-Datenquelle

Fügen Sie die folgende Richtlinie hinzu, um der Rolle Berechtigungen für den Zugriff auf Microsoft zu gewähren SharePoint.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}
Anmerkung

Wenn Sie die zertifikatsbasierte Authentifizierung (X.509) verwenden und Ihr Zertifikat in einem Amazon S3 S3-Bucket speichern, müssen Sie der Servicerolle auch die s3:GetObject Berechtigung für den Bucket und den Schlüssel erteilen, in dem die Zertifikatsdatei (.pfx oder .pem) gespeichert ist. Das folgende Beispiel zeigt die zusätzliche erforderliche Richtlinienerklärung:

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::${CertificateBucketName}/${CertificateKeyPath}"
        ]
    }]
}

Berechtigungen für den Zugriff auf Ihre Web Crawler-Datenquelle

Fügen Sie die folgende Richtlinie hinzu, um der Rolle Berechtigungen für den Zugriff auf Websites über den Web Crawler zu gewähren. Wenn für Ihre Website eine Authentifizierung erforderlich ist, fügen Sie Berechtigungen für den Zugriff auf das AWS Secrets Manager Geheimnis hinzu, in dem Ihre Anmeldeinformationen gespeichert sind.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}

Berechtigungen für den Zugriff auf Ihre OneDrive Microsoft-Datenquelle

Fügen Sie die folgende Richtlinie hinzu, um der Rolle Berechtigungen für den Zugriff auf Microsoft zu gewähren OneDrive.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}

Berechtigungen für den Zugriff auf Ihre Google Drive-Datenquelle

Fügen Sie die folgende Richtlinie bei, um der Rolle Berechtigungen für den Zugriff auf Google Drive zu gewähren.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}