View a markdown version of this page

Membuat peran layanan untuk Pangkalan Pengetahuan Amazon Bedrock yang dikelola - Amazon Bedrock
Hubungan kepercayaanIzin untuk mengakses model Amazon BedrockIzin untuk mengakses sumber data Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat peran layanan untuk Pangkalan Pengetahuan Amazon Bedrock yang dikelola

Untuk menggunakan peran kustom untuk basis pengetahuan terkelola, bukan yang dibuat Amazon Bedrock secara otomatis, buat peran IAM dan lampirkan izin berikut dengan mengikuti langkah-langkah di Membuat peran untuk mendelegasikan izin ke layanan. AWS Sertakan hanya izin yang diperlukan untuk keamanan Anda sendiri.

catatan

Kebijakan tidak dapat dibagi di antara beberapa peran saat peran layanan digunakan.

  • Hubungan kepercayaan

  • Akses ke model dasar Amazon Bedrock

  • Akses ke sumber data tempat Anda menyimpan data

Hubungan kepercayaan

Kebijakan berikut memungkinkan Amazon Bedrock untuk mengambil peran ini dan membuat serta mengelola basis pengetahuan. Anda dapat membatasi cakupan izin dengan menggunakan satu atau lebih kunci konteks kondisi global. Untuk informasi selengkapnya, lihat kunci konteks kondisi AWS global. Tetapkan aws:SourceAccount nilainya ke ID akun Anda. Gunakan ArnEquals atau ArnLike kondisi untuk membatasi ruang lingkup ke basis pengetahuan tertentu.

catatan

Sebagai praktik terbaik untuk tujuan keamanan, ganti * dengan ID basis pengetahuan khusus setelah Anda membuatnya.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
                }
            }
        }
    ]
}

Izin untuk mengakses model Amazon Bedrock

Lampirkan kebijakan berikut untuk memberikan izin bagi peran untuk menggunakan model Amazon Bedrock untuk menyematkan data sumber Anda.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:ListFoundationModels",
                "bedrock:ListCustomModels"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/amazon.titan-embed-text-v1",
                "arn:aws:bedrock:us-east-1::foundation-model/cohere.embed-english-v3",
                "arn:aws:bedrock:us-east-1::foundation-model/cohere.embed-multilingual-v3"
            ]
        }
    ]
}

Izin untuk mengakses sumber data Anda

Pilih dari sumber data berikut untuk melampirkan izin yang diperlukan untuk peran tersebut.

Izin untuk mengakses sumber data Amazon S3 Anda

Jika sumber data Anda adalah Amazon S3, lampirkan kebijakan berikut untuk memberikan izin bagi peran untuk mengakses bucket S3 yang akan Anda sambungkan sebagai sumber data Anda.

Jika Anda mengenkripsi sumber data dengan AWS KMS kunci, lampirkan izin untuk mendekripsi kunci peran dengan mengikuti langkah-langkah di. Izin untuk mendekripsi AWS KMS kunci untuk sumber data Anda di Amazon S3

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "S3ListBucketStatement",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        },
        {
            "Sid": "S3GetObjectStatement",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}

Izin untuk mengakses sumber data Confluence Anda

Lampirkan kebijakan berikut untuk memberikan izin bagi peran untuk mengakses Confluence.

catatan

secretsmanager:PutSecretValuehanya diperlukan jika Anda menggunakan otentikasi OAuth 2.0 dengan token penyegaran.

Token OAuth2.0 akses Confluence memiliki waktu kedaluwarsa default 60 menit. Jika token ini kedaluwarsa saat sumber data Anda disinkronkan (pekerjaan sinkronisasi), Amazon Bedrock akan menggunakan token penyegaran yang disediakan untuk membuat ulang token ini. Regenerasi ini menyegarkan token akses dan penyegaran. Untuk menjaga token diperbarui dari pekerjaan sinkronisasi saat ini ke pekerjaan sinkronisasi berikutnya, Amazon Bedrock memerlukan write/put izin untuk kredensil rahasia Anda.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}

Izin untuk mengakses sumber SharePoint data Microsoft Anda

Lampirkan kebijakan berikut untuk memberikan izin bagi peran untuk mengakses Microsoft SharePoint.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}
catatan

Jika Anda menggunakan authentication (X.509) berbasis sertifikat dan menyimpan sertifikat di bucket Amazon S3, Anda juga harus memberikan s3:GetObject izin ke peran layanan untuk bucket dan kunci tempat file sertifikat (.pfx atau .pem) disimpan. Contoh berikut menunjukkan pernyataan kebijakan tambahan yang diperlukan:

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::${CertificateBucketName}/${CertificateKeyPath}"
        ]
    }]
}

Izin untuk mengakses sumber data Web Crawler Anda

Lampirkan kebijakan berikut untuk memberikan izin bagi peran untuk mengakses situs web melalui Web Crawler. Jika situs web Anda memerlukan otentikasi, sertakan izin untuk mengakses AWS Secrets Manager rahasia yang menyimpan kredensil Anda.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}

Izin untuk mengakses sumber OneDrive data Microsoft Anda

Lampirkan kebijakan berikut untuk memberikan izin bagi peran untuk mengakses Microsoft OneDrive.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}

Izin untuk mengakses sumber data Google Drive Anda

Lampirkan kebijakan berikut untuk memberikan izin bagi peran untuk mengakses Google Drive.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}