

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Crea un ruolo di servizio per le Knowledge Base gestite di Amazon Bedrock
<a name="kb-managed-permissions"></a>

Per utilizzare un ruolo personalizzato per una knowledge base gestita anziché quello creato automaticamente da Amazon Bedrock, crea un ruolo IAM e assegna le seguenti autorizzazioni seguendo la procedura descritta in [Creazione di un ruolo per delegare le autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) a un servizio. AWS Includere solo le autorizzazioni necessarie per la sicurezza.

**Nota**  
Una policy non può essere condivisa tra più ruoli quando viene utilizzato il ruolo di servizio.
+ Relazione di attendibilità
+ Accesso ai modelli base di Amazon Bedrock
+ Accesso all’origine dati in cui sono archiviati i dati

**Topics**
+ [Relazione di attendibilità](#kb-managed-permissions-trust)
+ [Autorizzazioni per accedere ai modelli Amazon Bedrock](#kb-managed-permissions-access-models)
+ [Autorizzazioni per accedere alle origini dati](#kb-managed-permissions-access-ds)

## Relazione di attendibilità
<a name="kb-managed-permissions-trust"></a>

La seguente policy consente ad Amazon Bedrock di assumere questo ruolo e creare e gestire knowledge base. È possibile limitare l’ambito dell’autorizzazione utilizzando una o più chiavi di contesto delle condizioni globali. Per ulteriori informazioni, consulta [Chiavi di contesto delle condizioni globali AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html). Impostare il valore `aws:SourceAccount` sull’ID dell’account. Utilizzare la condizione `ArnEquals` o `ArnLike` per limitare l’ambito a knowledge base specifiche.

**Nota**  
Come best practice per motivi di sicurezza, sostituiscili {{\*}} con ID specifici della knowledge base dopo averli creati.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "{{123456789012}}"
                },
                "ArnLike": {
                    "AWS:SourceArn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:knowledge-base/{{*}}"
                }
            }
        }
    ]
}
```

------

## Autorizzazioni per accedere ai modelli Amazon Bedrock
<a name="kb-managed-permissions-access-models"></a>

Collegare la seguente policy per fornire al ruolo le autorizzazioni per utilizzare i modelli di Amazon Bedrock per incorporare i dati di origine.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:ListFoundationModels",
                "bedrock:ListCustomModels"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:{{us-east-1}}::foundation-model/amazon.titan-embed-text-v1",
                "arn:aws:bedrock:{{us-east-1}}::foundation-model/cohere.embed-english-v3",
                "arn:aws:bedrock:{{us-east-1}}::foundation-model/cohere.embed-multilingual-v3"
            ]
        }
    ]
}
```

------

## Autorizzazioni per accedere alle origini dati
<a name="kb-managed-permissions-access-ds"></a>

Selezionare una delle seguenti origini dati per collegare le autorizzazioni necessarie per il ruolo.

**Topics**
+ [Autorizzazioni per accedere all’origine dati in Amazon S3](#kb-managed-permissions-access-s3)
+ [Autorizzazioni per accedere all’origine dati in Confluence](#kb-managed-permissions-access-confluence)
+ [Autorizzazioni per accedere all'origine SharePoint dati Microsoft](#kb-managed-permissions-access-sharepoint)
+ [Autorizzazioni per accedere alla fonte di dati del Web Crawler](#kb-managed-permissions-access-webcrawler)
+ [Autorizzazioni per accedere all'origine OneDrive dati Microsoft](#kb-managed-permissions-access-onedrive)
+ [Autorizzazioni per accedere alla fonte di dati di Google Drive](#kb-managed-permissions-access-googledrive)

### Autorizzazioni per accedere all’origine dati in Amazon S3
<a name="kb-managed-permissions-access-s3"></a>

Se l’origine dati è Amazon S3, collegare la seguente policy per fornire al ruolo le autorizzazioni per accedere al bucket S3 utilizzato per connettersi come origine dati.

Se hai crittografato l'origine dati con una AWS KMS chiave, assegna le autorizzazioni per decrittografare la chiave al ruolo seguendo la procedura riportata qui. [Autorizzazioni per decrittografare i tuoi AWS KMS chiave per le tue fonti di dati in Amazon S3](encryption-kb.md#encryption-kb-ds)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ListBucketStatement",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::{{amzn-s3-demo-bucket}}"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "{{123456789012}}"
                }
            }
        },
        {
            "Sid": "S3GetObjectStatement",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "{{123456789012}}"
                }
            }
        }
    ]
}
```

------

### Autorizzazioni per accedere all’origine dati in Confluence
<a name="kb-managed-permissions-access-confluence"></a>

Collegare la seguente policy per fornire al ruolo le autorizzazioni per accedere a Confluence.

**Nota**  
`secretsmanager:PutSecretValue` è necessario solo se viene utilizzata l’autenticazione OAuth 2.0 con un token di aggiornamento.  
Il token di OAuth2.0 **accesso** Confluence ha una scadenza predefinita di 60 minuti. Se il token di accesso scade durante la sincronizzazione dell’origine dati (processo di sincronizzazione), Amazon Bedrock utilizza il token di **aggiornamento** fornito per rigenerarlo. In questo caso vengono rigenerati sia i token di accesso sia quelli di aggiornamento. Per mantenere i token aggiornati dal processo di sincronizzazione corrente al processo di sincronizzazione successivo, Amazon Bedrock richiede write/put le autorizzazioni per le tue credenziali segrete.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:{{${Region}}}:{{${AccountId}}}:secret:{{${SecretId}}}"
        ]
    }]
}
```

### Autorizzazioni per accedere all'origine SharePoint dati Microsoft
<a name="kb-managed-permissions-access-sharepoint"></a>

Allega la seguente politica per fornire le autorizzazioni per il ruolo di accedere a Microsoft SharePoint.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:{{${Region}}}:{{${AccountId}}}:secret:{{${SecretId}}}"
        ]
    }]
}
```

**Nota**  
Se utilizzi l'autenticazione basata su certificati (X.509) e memorizzi il certificato in un bucket Amazon S3, devi anche concedere l'`s3:GetObject`autorizzazione al ruolo di servizio per il bucket e la chiave in cui è archiviato il file del certificato (.pfx o .pem). L'esempio seguente mostra la dichiarazione politica aggiuntiva richiesta:  

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::{{${CertificateBucketName}}}/{{${CertificateKeyPath}}}"
        ]
    }]
}
```

### Autorizzazioni per accedere alla fonte di dati del Web Crawler
<a name="kb-managed-permissions-access-webcrawler"></a>

Allega la seguente politica per fornire le autorizzazioni per il ruolo di accedere ai siti Web tramite il Web Crawler. Se il tuo sito Web richiede l'autenticazione, includi le autorizzazioni per accedere al AWS Secrets Manager segreto che memorizza le tue credenziali.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:{{${Region}}}:{{${AccountId}}}:secret:{{${SecretId}}}"
        ]
    }]
}
```

### Autorizzazioni per accedere all'origine OneDrive dati Microsoft
<a name="kb-managed-permissions-access-onedrive"></a>

Allega la seguente politica per fornire le autorizzazioni per il ruolo di accedere a Microsoft OneDrive.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:{{${Region}}}:{{${AccountId}}}:secret:{{${SecretId}}}"
        ]
    }]
}
```

### Autorizzazioni per accedere alla fonte di dati di Google Drive
<a name="kb-managed-permissions-access-googledrive"></a>

Allega le seguenti norme per fornire le autorizzazioni per il ruolo ad accedere a Google Drive.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": [
            "arn:aws:secretsmanager:{{${Region}}}:{{${AccountId}}}:secret:{{${SecretId}}}"
        ]
    }]
}
```