

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Eine Servicerolle für verwaltete Amazon Bedrock Knowledge Bases erstellen
<a name="kb-managed-permissions"></a>

Um eine benutzerdefinierte Rolle für eine verwaltete Wissensdatenbank anstelle der Rolle zu verwenden, die Amazon Bedrock automatisch erstellt, erstellen Sie eine IAM-Rolle und fügen Sie die folgenden Berechtigungen hinzu, indem Sie die Schritte unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) einen Service befolgen. AWS Geben Sie nur die Berechtigungen an, die für Ihre eigene Sicherheit erforderlich sind.

**Anmerkung**  
Eine Richtlinie kann nicht von mehreren Rollen gemeinsam genutzt werden, wenn die Servicerolle verwendet wird.
+ Vertrauensstellung
+ Zugriff auf die Amazon-Bedrock-Basismodelle
+ Zugriff auf die Datenquelle, in der Sie Ihre Daten speichern

**Topics**
+ [Vertrauensstellung](#kb-managed-permissions-trust)
+ [Berechtigungen für den Zugriff auf Amazon-Bedrock-Modelle](#kb-managed-permissions-access-models)
+ [Berechtigungen für den Zugriff auf Ihre Datenquellen](#kb-managed-permissions-access-ds)

## Vertrauensstellung
<a name="kb-managed-permissions-trust"></a>

Die folgende Richtlinie ermöglicht es Amazon Bedrock, diese Rolle zu übernehmen und Wissensdatenbanken zu erstellen und zu verwalten. Sie können den Geltungsbereich der Berechtigung einschränken, indem Sie einen oder mehrere globale Bedingungskontextschlüssel verwenden. Weitere Informationen finden Sie unter [Globale AWS -Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html). Legen Sie den Wert `aws:SourceAccount` auf Ihre Konto-ID fest. Verwenden Sie die Bedingung `ArnEquals` oder `ArnLike`, um den Geltungsbereich auf bestimmte Wissensdatenbanken zu beschränken.

**Anmerkung**  
Aus Sicherheitsgründen empfiehlt es sich, diese durch spezifische {{\*}} Wissensdatenbank-IDs zu ersetzen, nachdem Sie sie erstellt haben.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "{{123456789012}}"
                },
                "ArnLike": {
                    "AWS:SourceArn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:knowledge-base/{{*}}"
                }
            }
        }
    ]
}
```

------

## Berechtigungen für den Zugriff auf Amazon-Bedrock-Modelle
<a name="kb-managed-permissions-access-models"></a>

Fügen Sie die folgende Richtlinie hinzu, um der Rolle Berechtigungen zu erteilen, damit sie Amazon Bedrock für die Einbettung Ihrer Quelldaten verwenden kann.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:ListFoundationModels",
                "bedrock:ListCustomModels"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:{{us-east-1}}::foundation-model/amazon.titan-embed-text-v1",
                "arn:aws:bedrock:{{us-east-1}}::foundation-model/cohere.embed-english-v3",
                "arn:aws:bedrock:{{us-east-1}}::foundation-model/cohere.embed-multilingual-v3"
            ]
        }
    ]
}
```

------

## Berechtigungen für den Zugriff auf Ihre Datenquellen
<a name="kb-managed-permissions-access-ds"></a>

Wählen Sie aus den folgenden Datenquellen aus, um die erforderlichen Berechtigungen für die Rolle zu verknüpfen.

**Topics**
+ [Berechtigungen für den Zugriff auf Ihre Datenquellen in Amazon S3](#kb-managed-permissions-access-s3)
+ [Berechtigungen für den Zugriff auf Ihre Confluence-Datenquelle](#kb-managed-permissions-access-confluence)
+ [Berechtigungen für den Zugriff auf Ihre SharePoint Microsoft-Datenquelle](#kb-managed-permissions-access-sharepoint)
+ [Berechtigungen für den Zugriff auf Ihre Web Crawler-Datenquelle](#kb-managed-permissions-access-webcrawler)
+ [Berechtigungen für den Zugriff auf Ihre OneDrive Microsoft-Datenquelle](#kb-managed-permissions-access-onedrive)
+ [Berechtigungen für den Zugriff auf Ihre Google Drive-Datenquelle](#kb-managed-permissions-access-googledrive)

### Berechtigungen für den Zugriff auf Ihre Datenquellen in Amazon S3
<a name="kb-managed-permissions-access-s3"></a>

Wenn Ihre Datenquelle in Amazon S3 ist, fügen Sie die folgende Richtlinie hinzu, um der Rolle Berechtigungen für den Zugriff auf den S3-Bucket zu erteilen, zu dem Sie als Datenquelle eine Verbindung herstellen.

Wenn Sie die Datenquelle mit einem AWS KMS Schlüssel verschlüsselt haben, fügen Sie der Rolle Berechtigungen zum Entschlüsseln des Schlüssels zu, indem Sie die Schritte unter [Berechtigungen zum Entschlüsseln Ihrer AWS KMS Schlüssel für Ihre Datenquellen in Amazon S3](encryption-kb.md#encryption-kb-ds) ausführen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ListBucketStatement",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::{{amzn-s3-demo-bucket}}"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "{{123456789012}}"
                }
            }
        },
        {
            "Sid": "S3GetObjectStatement",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "{{123456789012}}"
                }
            }
        }
    ]
}
```

------

### Berechtigungen für den Zugriff auf Ihre Confluence-Datenquelle
<a name="kb-managed-permissions-access-confluence"></a>

Fügen Sie die folgende Richtlinie hinzu, um der Rolle Berechtigungen für den Zugriff auf Confluence zu erteilen.

**Anmerkung**  
`secretsmanager:PutSecretValue` ist nur erforderlich, wenn Sie die OAuth 2.0-Authentifizierung mit einem Aktualisierungstoken verwenden.  
Das OAuth2.0 **Confluence-Zugriffstoken** hat eine Standardablaufzeit von 60 Minuten. Wenn dieses Token abläuft, während Ihre Datenquelle synchronisiert wird (Synchronisierungsauftrag), verwendet Amazon Bedrock das bereitgestellte **Aktualisierungstoken**, um dieses Token neu zu generieren. Bei dieser Regenerierung werden sowohl die Zugriffs- als auch die Aktualisierungstoken aktualisiert. Um die Token vom aktuellen Synchronisierungsauftrag bis zum nächsten Synchronisierungsauftrag auf dem neuesten Stand zu halten, benötigt Amazon Bedrock write/put Berechtigungen für Ihre geheimen Anmeldeinformationen.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:{{${Region}}}:{{${AccountId}}}:secret:{{${SecretId}}}"
        ]
    }]
}
```

### Berechtigungen für den Zugriff auf Ihre SharePoint Microsoft-Datenquelle
<a name="kb-managed-permissions-access-sharepoint"></a>

Fügen Sie die folgende Richtlinie hinzu, um der Rolle Berechtigungen für den Zugriff auf Microsoft zu gewähren SharePoint.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:{{${Region}}}:{{${AccountId}}}:secret:{{${SecretId}}}"
        ]
    }]
}
```

**Anmerkung**  
Wenn Sie die zertifikatsbasierte Authentifizierung (X.509) verwenden und Ihr Zertifikat in einem Amazon S3 S3-Bucket speichern, müssen Sie der Servicerolle auch die `s3:GetObject` Berechtigung für den Bucket und den Schlüssel erteilen, in dem die Zertifikatsdatei (.pfx oder .pem) gespeichert ist. Das folgende Beispiel zeigt die zusätzliche erforderliche Richtlinienerklärung:  

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::{{${CertificateBucketName}}}/{{${CertificateKeyPath}}}"
        ]
    }]
}
```

### Berechtigungen für den Zugriff auf Ihre Web Crawler-Datenquelle
<a name="kb-managed-permissions-access-webcrawler"></a>

Fügen Sie die folgende Richtlinie hinzu, um der Rolle Berechtigungen für den Zugriff auf Websites über den Web Crawler zu gewähren. Wenn für Ihre Website eine Authentifizierung erforderlich ist, fügen Sie Berechtigungen für den Zugriff auf das AWS Secrets Manager Geheimnis hinzu, in dem Ihre Anmeldeinformationen gespeichert sind.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:{{${Region}}}:{{${AccountId}}}:secret:{{${SecretId}}}"
        ]
    }]
}
```

### Berechtigungen für den Zugriff auf Ihre OneDrive Microsoft-Datenquelle
<a name="kb-managed-permissions-access-onedrive"></a>

Fügen Sie die folgende Richtlinie hinzu, um der Rolle Berechtigungen für den Zugriff auf Microsoft zu gewähren OneDrive.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:{{${Region}}}:{{${AccountId}}}:secret:{{${SecretId}}}"
        ]
    }]
}
```

### Berechtigungen für den Zugriff auf Ihre Google Drive-Datenquelle
<a name="kb-managed-permissions-access-googledrive"></a>

Fügen Sie die folgende Richtlinie bei, um der Rolle Berechtigungen für den Zugriff auf Google Drive zu gewähren.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:{{${Region}}}:{{${AccountId}}}:secret:{{${SecretId}}}"
        ]
    }]
}
```