Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configuración de los permisos de un usuario o rol para crear y administrar bases de conocimiento
Para que un usuario o rol realice acciones relacionadas con Bases de conocimiento de Amazon Bedrock, debe asociarle políticas que otorguen permisos para realizar las acciones. Describe los permisos que permiten a un usuario recuperar información de estas bases de conocimiento y generar respuestas a partir de ellas.
Amplíe las siguientes secciones para aprender a configurar permisos para casos de uso específicos:
## Cómo permitir que un rol cree bases de conocimiento y las administre
Para permitir que un rol de IAM cree una base de conocimiento, la conecte a un almacén de datos estructurados, administre la base de conocimiento e inicie y administre los trabajos de ingesta del origen de datos a la base de conocimiento, debe proporcionar permisos para las acciones `KnowledgeBase`, `DataSource` e `IngestionJob`. Para proporcionar permisos para etiquetar las bases de conocimiento, incluya los permisos para `bedrock:TagResource` y `bedrock:UntagResource`.
**nota**
Si el usuario o el rol tienen la política [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess) AWS administrada adjunta, puede omitir este requisito previo.
Para permitir que un rol realice estas acciones, asocie la siguiente política al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateKB",
"Effect": "Allow",
"Action": [
"bedrock:CreateKnowledgeBase"
],
"Resource": "*"
},
{
"Sid": "KBDataSourceManagement",
"Effect": "Allow",
"Action": [
"bedrock:GetKnowledgeBase",
"bedrock:ListKnowledgeBases",
"bedrock:UpdateKnowledgeBase",
"bedrock:DeleteKnowledgeBase",
"bedrock:StartIngestionJob",
"bedrock:GetIngestionJob",
"bedrock:ListIngestionJobs",
"bedrock:StopIngestionJob",
"bedrock:TagResource",
"bedrock:UntagResource"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:knowledge-base/{{*}}"
]
}
]
}
```
------
Tras crear una base de conocimientos, le recomendamos que reduzca los permisos de la `KBDataSourceManagement` declaración sustituyendo el comodín ({{\*}}) por el ID de la base de conocimientos que ha creado.
## Cómo permitir que un rol realice las operaciones de la API de la base de conocimiento
En esta sección se describen los permisos que necesita para realizar las operaciones de la API `Retrieve` y `RetrieveAndGenerate` para las bases de conocimiento.
Asocie la política siguiente al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GetKB",
"Effect": "Allow",
"Action": [
"bedrock:GetKnowledgeBase"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:knowledge-base/{{${KnowledgeBaseId}}}"
]
},
{
"Sid": "Retrieve",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:knowledge-base/{{${KnowledgeBaseId}}}"
]
},
{
"Sid": "RetrieveAndGenerate",
"Effect": "Allow",
"Action": [
"bedrock:RetrieveAndGenerate"
],
"Resource": [
"*"
]
}
]
}
```
------
Puede eliminar las instrucciones que no necesite en función del caso de uso:
+ La instrucción `GetKB` se utiliza para obtener la información de la base de conocimiento.
+ La instrucción `Retrieve` es necesaria para llamar a [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html) para recuperar los datos del almacén de datos.
+ La instrucción `RetrieveAndGenerate` es necesaria para llamar a [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) para recuperar los datos del almacén de datos y generar las respuestas en función de los datos.
## Solicite acceso a los modelos básicos para RetrieveAndGenerate
Si planea utilizar [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) para generar respuestas basadas en los datos recuperados de su origen de datos, solicite acceso a los modelos fundacionales que se utilizarán en la generación siguiendo los pasos que se indican en [Solicita acceso a los modelos](model-access.md).
Para restringir aún más los permisos, puede omitir acciones o puede especificar recursos y claves de condición para filtrar los permisos. Para obtener más información sobre las acciones, los recursos y las claves de condición, consulte los siguientes temas en la *Referencia de autorizaciones de servicio*:
+ [Acciones definidas por Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions): obtenga información sobre las acciones, los tipos de recursos a los que puede aplicarlas en el campo `Resource` y las claves de condición que puede usar para filtrar los permisos en el campo `Condition`.
+ [Tipos de recursos definidos por Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies): obtenga información sobre los tipos de recursos de Amazon Bedrock.
+ [Claves de condición de Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys): obtenga información sobre las claves de condición de Amazon Bedrock.