View a markdown version of this page

Cree un rol de servicio para las bases de conocimiento gestionadas de Amazon Bedrock - Amazon Bedrock

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cree un rol de servicio para las bases de conocimiento gestionadas de Amazon Bedrock

Para utilizar un rol personalizado para una base de conocimientos gestionada en lugar del que Amazon Bedrock crea automáticamente, cree un rol de IAM y adjunte los siguientes permisos siguiendo los pasos que se indican en Crear un rol para delegar permisos a un AWS servicio. Incluya solo los permisos necesarios para su propia seguridad.

nota

Una política no se puede compartir entre varios roles cuando se usa el rol de servicio.

  • Relación de confianza

  • Acceso a los modelos base de Amazon Bedrock

  • Acceso al origen de datos en el que almacena los datos

Relación de confianza

La siguiente política permite a Amazon Bedrock asumir este rol y crear y gestionar bases de conocimientos. Puede restringir el alcance del permiso mediante una o más claves de contexto de condiciones globales. Para obtener más información, consulte las claves de contexto de condición globales de AWS. Configure el valor aws:SourceAccount en el ID de su cuenta. Use la condición ArnEquals o ArnLike para restringir el alcance a bases de conocimiento específicas.

nota

Como práctica recomendada por motivos de seguridad, sustitúyalos por identificadores de base de conocimientos específicos una vez que los haya creado. *

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*" } } } ] }

Permisos para acceder a los modelos de Amazon Bedrock

Asocie la siguiente política para proporcionar permisos al rol para usar modelos de Amazon Bedrock para incrustar sus datos de origen.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:ListFoundationModels", "bedrock:ListCustomModels" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:us-east-1::foundation-model/amazon.titan-embed-text-v1", "arn:aws:bedrock:us-east-1::foundation-model/cohere.embed-english-v3", "arn:aws:bedrock:us-east-1::foundation-model/cohere.embed-multilingual-v3" ] } ] }

Permisos de acceso a los orígenes de datos

Seleccione uno de los siguientes orígenes de datos para asociar los permisos necesarios para el rol.

Permisos de acceso al origen de datos en Amazon S3

Si su origen de datos es Amazon S3, asocie la siguiente política para proporcionar permisos para que el rol acceda al bucket de S3 al que se conectará como origen de datos.

Si cifró la fuente de datos con una AWS KMS clave, adjunte los permisos para descifrar la clave al rol siguiendo los pasos que se indican enPermisos para descifrar su AWS KMS clave para sus fuentes de datos en Amazon S3.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "S3ListBucketStatement", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "123456789012" } } }, { "Sid": "S3GetObjectStatement", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "123456789012" } } } ] }

Permisos de acceso al origen de datos de Confluence

Asocie la siguiente política para conceder permisos al rol para acceder a Confluence.

nota

secretsmanager:PutSecretValue solo se necesita si utiliza la autenticación OAuth 2.0 con un token de actualización.

El tiempo de caducidad predeterminado del token de OAuth2.0 acceso de Confluence es de 60 minutos. Si este token caduca mientras se está sincronizando el origen de datos (trabajo de sincronización), Amazon Bedrock utilizará el token de actualización proporcionado para regenerar este token. Esta regeneración actualiza los tokens de acceso y de actualización. Para mantener los tokens actualizados desde el trabajo de sincronización actual al siguiente trabajo de sincronización, Amazon Bedrock necesita write/put permisos para sus credenciales secretas.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}" ] }] }

Permisos para acceder a la fuente de SharePoint datos de Microsoft

Adjunte la siguiente política para proporcionar permisos al rol para acceder a Microsoft SharePoint.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}" ] }] }
nota

Si utiliza la autenticación basada en certificados (X.509) y almacena su certificado en un bucket de Amazon S3, también debe conceder s3:GetObject permiso al rol de servicio del bucket y la clave donde se almacena el archivo de certificado (.pfx o.pem). El siguiente ejemplo muestra la declaración de política adicional requerida:

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::${CertificateBucketName}/${CertificateKeyPath}" ] }] }

Permisos para acceder a la fuente de datos de Web Crawler

Adjunte la siguiente política para proporcionar permisos al rol para acceder a sitios web a través del Web Crawler. Si su sitio web requiere autenticación, incluya permisos para acceder al AWS Secrets Manager secreto que almacena sus credenciales.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}" ] }] }

Permisos para acceder a la fuente de OneDrive datos de Microsoft

Adjunte la siguiente política para proporcionar permisos al rol para acceder a Microsoft OneDrive.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}" ] }] }

Permisos para acceder a tu fuente de datos de Google Drive

Adjunta la siguiente política para permitir que el rol acceda a Google Drive.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}" ] }] }