View a markdown version of this page

Crie uma função de serviço para bases de conhecimento gerenciadas do Amazon Bedrock - Amazon Bedrock
Relação de confiançaPermissões para acessar os modelos do Amazon BedrockPermissões para acessar as fontes de dados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie uma função de serviço para bases de conhecimento gerenciadas do Amazon Bedrock

Para usar uma função personalizada para uma base de conhecimento gerenciada em vez da que o Amazon Bedrock cria automaticamente, crie uma função do IAM e anexe as seguintes permissões seguindo as etapas em Criar uma função para delegar permissões a um AWS serviço. Inclua somente as permissões necessárias para sua própria segurança.

nota

Não é possível compartilhar uma política entre vários perfis quando o perfil de serviço é usado.

  • Relação de confiança

  • Acesso aos modelos de base do Amazon Bedrock

  • Acesso da fonte de dados ao local em que os dados são armazenados

Relação de confiança

A política a seguir permite que o Amazon Bedrock assuma esse perfil e crie e gerencie bases de conhecimento. É possível restringir o escopo da permissão usando uma ou mais chaves de contexto de condição global. Para obter mais informações, consulte Chaves de contexto de condição global da AWS. Defina o valor aws:SourceAccount para o ID da conta. Use a condição ArnEquals ou ArnLike para restringir o escopo a bases de conhecimento específicas.

nota

Como prática recomendada para fins de segurança, substitua-os * por IDs de base de conhecimento específicos depois de criá-los.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
                }
            }
        }
    ]
}

Permissões para acessar os modelos do Amazon Bedrock

Anexe a política a seguir a fim de fornecer permissões ao perfil para usar os modelos do Amazon Bedrock para incorporar os dados de origem.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:ListFoundationModels",
                "bedrock:ListCustomModels"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/amazon.titan-embed-text-v1",
                "arn:aws:bedrock:us-east-1::foundation-model/cohere.embed-english-v3",
                "arn:aws:bedrock:us-east-1::foundation-model/cohere.embed-multilingual-v3"
            ]
        }
    ]
}

Permissões para acessar as fontes de dados

Selecione uma das fontes de dados a seguir para anexar as permissões necessárias ao perfil.

Permissões para acessar as fontes de dados no Amazon S3

Se sua fonte de dados for o Amazon S3, anexe a política a seguir para permitir que o perfil acesse o bucket do S3 ao qual você se conectará como fonte de dados.

Se você criptografou a fonte de dados com uma AWS KMS chave, anexe permissões para descriptografar a chave à função seguindo as etapas em. Permissões para descriptografar seu AWS KMS chave para suas fontes de dados no Amazon S3

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "S3ListBucketStatement",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        },
        {
            "Sid": "S3GetObjectStatement",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}

Permissões para acessar as fontes de dados do Confluence

Anexe a política a seguir para fornecer permissões para que o perfil acesse o Confluence.

nota

secretsmanager:PutSecretValue só será necessário se você usar a autenticação OAuth 2.0 com um token de atualização.

O token de OAuth2.0 acesso do Confluence tem um tempo de expiração padrão de 60 minutos. Se esse token expirar enquanto a fonte de dados estiver em sincronização (trabalho de sincronização), o Amazon Bedrock usará o token de atualização fornecido para regenerar esse token. Essa regeneração atualiza os tokens de acesso e de atualização. Para manter os tokens atualizados da tarefa de sincronização atual para a próxima tarefa de sincronização, o Amazon Bedrock exige write/put permissões para suas credenciais secretas.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}

Permissões para acessar sua fonte de SharePoint dados da Microsoft

Anexe a política a seguir para fornecer permissões para que a função acesse a Microsoft SharePoint.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}
nota

Se você usar a autenticação baseada em certificado (X.509) e armazenar seu certificado em um bucket do Amazon S3, também deverá conceder s3:GetObject permissão à função de serviço do bucket e da chave em que o arquivo do certificado (.pfx ou .pem) está armazenado. O exemplo a seguir mostra a declaração de política adicional necessária:

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::${CertificateBucketName}/${CertificateKeyPath}"
        ]
    }]
}

Permissões para acessar sua fonte de dados do Web Crawler

Anexe a política a seguir para fornecer permissões para que a função acesse sites por meio do Web Crawler. Se seu site exigir autenticação, inclua permissões para acessar o AWS Secrets Manager segredo que armazena suas credenciais.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}

Permissões para acessar sua fonte de OneDrive dados da Microsoft

Anexe a política a seguir para fornecer permissões para que a função acesse a Microsoft OneDrive.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}

Permissões para acessar sua fonte de dados do Google Drive

Anexe a política a seguir para fornecer permissões para a função acessar o Google Drive.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}"
        ]
    }]
}