View a markdown version of this page

Crea un ruolo di servizio per le Knowledge Base gestite di Amazon Bedrock - Amazon Bedrock
Relazione di attendibilitàAutorizzazioni per accedere ai modelli Amazon BedrockAutorizzazioni per accedere alle origini dati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un ruolo di servizio per le Knowledge Base gestite di Amazon Bedrock

Per utilizzare un ruolo personalizzato per una knowledge base gestita anziché quello creato automaticamente da Amazon Bedrock, crea un ruolo IAM e assegna le seguenti autorizzazioni seguendo la procedura descritta in Creazione di un ruolo per delegare le autorizzazioni a un servizio. AWS Includere solo le autorizzazioni necessarie per la sicurezza.

Nota

Una policy non può essere condivisa tra più ruoli quando viene utilizzato il ruolo di servizio.

  • Relazione di attendibilità

  • Accesso ai modelli base di Amazon Bedrock

  • Accesso all’origine dati in cui sono archiviati i dati

Relazione di attendibilità

La seguente policy consente ad Amazon Bedrock di assumere questo ruolo e creare e gestire knowledge base. È possibile limitare l’ambito dell’autorizzazione utilizzando una o più chiavi di contesto delle condizioni globali. Per ulteriori informazioni, consulta Chiavi di contesto delle condizioni globali AWS. Impostare il valore aws:SourceAccount sull’ID dell’account. Utilizzare la condizione ArnEquals o ArnLike per limitare l’ambito a knowledge base specifiche.

Nota

Come best practice per motivi di sicurezza, sostituiscili * con ID specifici della knowledge base dopo averli creati.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
                }
            }
        }
    ]
}

Autorizzazioni per accedere ai modelli Amazon Bedrock

Collegare la seguente policy per fornire al ruolo le autorizzazioni per utilizzare i modelli di Amazon Bedrock per incorporare i dati di origine.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:ListFoundationModels",
                "bedrock:ListCustomModels"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/amazon.titan-embed-text-v1",
                "arn:aws:bedrock:us-east-1::foundation-model/cohere.embed-english-v3",
                "arn:aws:bedrock:us-east-1::foundation-model/cohere.embed-multilingual-v3"
            ]
        }
    ]
}

Autorizzazioni per accedere alle origini dati

Selezionare una delle seguenti origini dati per collegare le autorizzazioni necessarie per il ruolo.

Autorizzazioni per accedere all’origine dati in Amazon S3

Se l’origine dati è Amazon S3, collegare la seguente policy per fornire al ruolo le autorizzazioni per accedere al bucket S3 utilizzato per connettersi come origine dati.

Se hai crittografato l'origine dati con una AWS KMS chiave, assegna le autorizzazioni per decrittografare la chiave al ruolo seguendo la procedura riportata qui. Autorizzazioni per decrittografare i tuoi AWS KMS chiave per le tue fonti di dati in Amazon S3

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "S3ListBucketStatement",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        },
        {
            "Sid": "S3GetObjectStatement",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}

Autorizzazioni per accedere all’origine dati in Confluence

Collegare la seguente policy per fornire al ruolo le autorizzazioni per accedere a Confluence.

Nota

secretsmanager:PutSecretValue è necessario solo se viene utilizzata l’autenticazione OAuth 2.0 con un token di aggiornamento.

Il token di OAuth2.0 accesso Confluence ha una scadenza predefinita di 60 minuti. Se il token di accesso scade durante la sincronizzazione dell’origine dati (processo di sincronizzazione), Amazon Bedrock utilizza il token di aggiornamento fornito per rigenerarlo. In questo caso vengono rigenerati sia i token di accesso sia quelli di aggiornamento. Per mantenere i token aggiornati dal processo di sincronizzazione corrente al processo di sincronizzazione successivo, Amazon Bedrock richiede write/put le autorizzazioni per le tue credenziali segrete.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}

Autorizzazioni per accedere all'origine SharePoint dati Microsoft

Allega la seguente politica per fornire le autorizzazioni per il ruolo di accedere a Microsoft SharePoint.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}
Nota

Se utilizzi l'autenticazione basata su certificati (X.509) e memorizzi il certificato in un bucket Amazon S3, devi anche concedere l's3:GetObjectautorizzazione al ruolo di servizio per il bucket e la chiave in cui è archiviato il file del certificato (.pfx o .pem). L'esempio seguente mostra la dichiarazione politica aggiuntiva richiesta:

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::${CertificateBucketName}/${CertificateKeyPath}"
        ]
    }]
}

Autorizzazioni per accedere alla fonte di dati del Web Crawler

Allega la seguente politica per fornire le autorizzazioni per il ruolo di accedere ai siti Web tramite il Web Crawler. Se il tuo sito Web richiede l'autenticazione, includi le autorizzazioni per accedere al Gestione dei segreti AWS segreto che memorizza le tue credenziali.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}

Autorizzazioni per accedere all'origine OneDrive dati Microsoft

Allega la seguente politica per fornire le autorizzazioni per il ruolo di accedere a Microsoft OneDrive.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}

Autorizzazioni per accedere alla fonte di dati di Google Drive

Allega le seguenti norme per fornire le autorizzazioni per il ruolo ad accedere a Google Drive.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}