

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# アクセス許可のセットアップ
<a name="byo-bedrock-kb-permissions"></a>

Amazon Quick は、Amazon Quick サービスロールを介して IAM SigV4 認証情報を使用して Amazon Bedrock を認証します。サービスロールには、ナレッジベースで次のアクションが必要です。
+ `bedrock:Retrieve`
+ `bedrock:GetDocumentContent`

次の例は、Amazon Bedrock マネージドナレッジベースの ARN 形式を示しています。

```
arn:aws:bedrock:{{REGION}}:{{ACCOUNT_ID}}:knowledge-base/{{KB_ID}}
```

## クロスアカウントの設定
<a name="byo-bedrock-kb-cross-account"></a>

マネージドナレッジベースが Amazon Quick インスタンスを実行しているアカウントとは異なるAWSアカウントによって所有されている場合、クロスアカウントアクセスが必要です。例えば、Amazon Quick インスタンスが別のアカウントで実行されている間、中央データチームが 1 つのアカウントのナレッジベースを所有する場合があります。

この場合、サービスロールにアクセス権を付与する前に、所有者のアカウントのナレッジベースにリソースポリシーをアタッチする必要があります。リソースポリシーは、Amazon Quick サービスロールがアカウントの境界を越えてナレッジベースを呼び出すことを承認します。

次のリソースポリシーの例では、マネージドナレッジベースにアクセスするためのアクセス許可を Amazon Quick サービスロールに付与します。プレースホルダーの値を、特定のアカウント IDs、リージョン、ナレッジベース ID に置き換えます。

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{{QUICK_ACCOUNT_ID}}:role/service-role/aws-quicksight-service-role-v0"
            },
            "Action": [
                "bedrock:Retrieve",
                "bedrock:GetDocumentContent"
            ],
            "Resource": "arn:aws:bedrock:{{REGION}}:{{KB_OWNER_ACCOUNT_ID}}:knowledge-base/{{KB_ID}}"
        }
    ]
}
```

[「Amazon Bedrock ユーザーガイド」の「アカウント間でマネージドナレッジベースを共有する](https://docs.aws.amazon.com/bedrock/latest/userguide/kb-managed-cross-account.html)」を参照してください。 **

## サービスロールにアクセス権を付与する
<a name="byo-bedrock-kb-grant-service-role"></a>

同じアカウント設定とクロスアカウント設定の両方で、Amazon Quick サービスロールに 管理コンソールを介してマネージドナレッジベースへのアクセスを許可します。

1. 管理者として Amazon Quick コンソールにサインインします。

1. **アカウントの管理** > **AWSリソース** > **Bedrock** に移動します。

1. 提供されたフォームを使用して、マネージドナレッジベース ARN を Amazon Quick サービスロールに追加します。Amazon Quick は、入力した ARN の範囲に必要な IAM ポリシーをサービスロールにアタッチします。