先决条件

Amazon Bedrock 托管知识库需要数据和 AWS Identity and Access Management 权限才能访问您的数据和执行操作。默认情况下，托管知识库使用服务管理的嵌入和重新排名模型，因此这些模型不需要 Bedrock 模型访问权限。如果您提供自己的嵌入模型或重新排序模型，则还需要访问这些 Bedrock 模型。

在创建托管知识库之前，必须满足以下先决条件。有关一般权限要求，请参阅为用户或角色设置权限以创建和管理知识库

确保您的数据位于支持的数据来源连接器中。

确保用于创建知识库的 IAM 角色iam:PassRole有权将服务角色传递给 Amazon Bedrock。将以下语句添加到角色的策略中：


{
    "Sid": "IAMPassRole",
    "Effect": "Allow",
    "Action": "iam:PassRole",
    "Resource": "arn:aws:iam::account-id:role/BedrockKBRole",
    "Condition": {
        "StringEquals": {
            "iam:PassedToService": "bedrock.amazonaws.com"
        }
    }
}

（可选）按照中的说明创建具有适当权限的自定义 AWS Identity and Access Management (IAM) 服务角色为托管 Amazon Bedrock 知识库创建服务角色。您可以使用 AWS 管理控制台为自己自动创建服务角色。
（可选）如果您计划使用自定义嵌入模型 (embeddingModelType: CUSTOM) 而不是默认的托管嵌入模型，请按照中的步骤请求访问要使用的区域中的 Bedrock 嵌入模型。请求访问模型使用托管嵌入时不需要这样做。
（可选）如果您计划使用自定义重新排名模型 (rerankingModelType: CUSTOM) 而不是默认的托管重新排名模型，请按照中的步骤请求访问将要使用的区域中的 Bedrock 重新排名模型。请求访问模型使用托管重排时，这不是必需的。
（可选）如果您计划通过 AgentCore Gateway 连接到知识库，请参阅使用查询和回复测试知识库中的 “通过 AgentCore Gatew ay 连接到知识库”。
（可选）要使用自定义 KMS 密钥加密托管知识库中的数据存储，请在创建知识库ServerSideEncryptionConfiguration时指定。您还需要向服务角色添加所需的 KMS 权限。有关更多信息，请参阅加密完全托管的知识库中的数据存储。
```
"ManagedKnowledgeBaseConfiguration": {
    "ServerSideEncryptionConfiguration": {
        "KmsKeyArn": "arn:aws:kms:us-west-2:123456789012:key/6d2dc333-1294-40bb-840a-c86e46ddc8b7"
    }
}
```

文档惯例

建立托管知识库

知识库服务角色