View a markdown version of this page

Création d'un rôle de service pour les bases de connaissances Amazon Bedrock gérées - Amazon Bedrock

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un rôle de service pour les bases de connaissances Amazon Bedrock gérées

Pour utiliser un rôle personnalisé pour une base de connaissances gérée au lieu de celui créé automatiquement par Amazon Bedrock, créez un rôle IAM et associez les autorisations suivantes en suivant les étapes de la section Création d'un rôle pour déléguer des autorisations à un AWS service. N’incluez que les autorisations nécessaires pour votre propre sécurité.

Note

Une politique ne peut pas être partagée entre plusieurs rôles lorsque le rôle de service est utilisé.

  • Relation d’approbation

  • Accès aux modèles de base Amazon Bedrock

  • Accès à la source de données dans laquelle vous stockez vos données

Relation d’approbation

La politique suivante permet à Amazon Bedrock d’endosser ce rôle, de créer des bases de connaissances et de les gérer. Vous pouvez restreindre la portée de l’autorisation en utilisant une ou plusieurs clés contextuelles de condition globale. Pour plus d’informations, consultez Clés contextuelles de condition globale AWS. Définissez la valeur aws:SourceAccount sur l’ID de votre compte. Vous pouvez utiliser la condition ArnEquals ou ArnLike pour limiter le champ d’application à des bases de connaissances spécifiques.

Note

Pour des raisons de sécurité, il est recommandé de les remplacer par * des identifiants de base de connaissances spécifiques une fois que vous les avez créés.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*" } } } ] }

Autorisations d'accès aux modèles Amazon Bedrock

Associez la politique suivante pour accorder au rôle l’autorisation d’utiliser les modèles Amazon Bedrock pour intégrer vos données sources.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:ListFoundationModels", "bedrock:ListCustomModels" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:us-east-1::foundation-model/amazon.titan-embed-text-v1", "arn:aws:bedrock:us-east-1::foundation-model/cohere.embed-english-v3", "arn:aws:bedrock:us-east-1::foundation-model/cohere.embed-multilingual-v3" ] } ] }

Autorisations d’accès aux sources de données

Sélectionnez l’une des sources de données suivantes pour associer les autorisations nécessaires au rôle.

Autorisations d’accès à votre source de données Amazon S3

Si votre source de données est Amazon S3, associez la politique suivante pour accorder au rôle l’autorisation d’accéder au compartiment S3 auquel vous vous connecterez en tant que source de données.

Si vous avez chiffré la source de données à l'aide d'une AWS KMS clé, associez des autorisations pour déchiffrer la clé au Autorisations pour déchiffrer votre AWS KMS clé pour vos sources de données dans Amazon S3 rôle en suivant les étapes décrites dans.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "S3ListBucketStatement", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "123456789012" } } }, { "Sid": "S3GetObjectStatement", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "123456789012" } } } ] }

Autorisations d’accès à votre source de données Confluence

Associez la politique suivante pour accorder au rôle l’autorisation d’accéder à Confluence.

Note

secretsmanager:PutSecretValue n’est nécessaire que si vous utilisez l’authentification OAuth 2.0 avec un jeton d’actualisation.

Le jeton OAuth2.0 d'accès Confluence a une durée d'expiration par défaut de 60 minutes. S’il expire alors que votre source de données est en cours de synchronisation (tâche de synchronisation), Amazon Bedrock utilise le jeton d’actualisation fourni pour le régénérer. Cette régénération actualise à la fois les jetons d’accès et ceux d’actualisation. Pour maintenir les jetons à jour entre la tâche de synchronisation en cours et la tâche de synchronisation suivante, Amazon Bedrock a besoin d' write/put autorisations pour vos informations d'identification secrètes.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}" ] }] }

Autorisations d'accès à votre source SharePoint de données Microsoft

Joignez la politique suivante pour autoriser le rôle à accéder à Microsoft SharePoint.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}" ] }] }
Note

Si vous utilisez l'authentification basée sur les certificats (X.509) et que vous stockez votre certificat dans un compartiment Amazon S3, vous devez également s3:GetObject autoriser le rôle de service pour le compartiment et la clé dans lesquels le fichier de certificat (.pfx ou .pem) est stocké. L'exemple suivant montre la déclaration de politique supplémentaire requise :

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::${CertificateBucketName}/${CertificateKeyPath}" ] }] }

Autorisations d'accès à votre source de données Web Crawler

Joignez la politique suivante pour autoriser le rôle à accéder aux sites Web via le Web Crawler. Si votre site Web nécessite une authentification, incluez des autorisations pour accéder au AWS Secrets Manager secret qui stocke vos informations d'identification.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}" ] }] }

Autorisations d'accès à votre source OneDrive de données Microsoft

Joignez la politique suivante pour autoriser le rôle à accéder à Microsoft OneDrive.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}" ] }] }

Autorisations d'accès à votre source de données Google Drive

Joignez la politique suivante pour autoriser le rôle à accéder à Google Drive.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:${Region}:${AccountId}:secret:${SecretId}" ] }] }