本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 提示管理器的先决条件 对于要使用提示管理器的角色,您需要允许该角色执行一组特定的 API 操作。查看以下先决条件,确保满足适用于您的使用案例的先决条件: 1. 如果您的角色附加了[AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)AWS托管策略,则可以跳过此部分。否则,请按照[更新角色的权限策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html#id_roles_update-role-permissions-policy)中的步骤操作,并将以下策略附加到角色以提供执行与提示管理器相关的操作的权限: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "PromptManagementPermissions", "Effect": "Allow", "Action": [ "bedrock:CreatePrompt", "bedrock:UpdatePrompt", "bedrock:GetPrompt", "bedrock:ListPrompts", "bedrock:DeletePrompt", "bedrock:CreatePromptVersion", "bedrock:OptimizePrompt", "bedrock:GetFoundationModel", "bedrock:ListFoundationModels", "bedrock:GetInferenceProfile", "bedrock:ListInferenceProfiles", "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream", "bedrock:RenderPrompt", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource" ], "Resource": "*" } ] } ``` ------ 要进一步限制权限,您可以忽略操作,或者指定用于筛选权限的资源和条件键。有关操作、资源和条件键的更多信息,请参阅《服务授权参考》**中的以下主题: + [Amazon Bedrock 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) – 了解操作、您可以在 `Resource` 字段中限定范围的资源类型,以及 `Condition` 字段中可用于筛选权限的条件键。 + [Amazon Bedrock 定义的资源类型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) – 了解 Amazon Bedrock 中的资源类型。 + [Amazon Bedrock 的条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) – 了解 Amazon Bedrock 中的条件键。 **注意** 如果您计划使用 [Converse](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html) API 来部署提示,请参阅[运行模型推理的先决条件](inference-prereq.md),了解必须为调用提示设置的权限。 如果您计划使用 Amazon Bedrock 流中的[流](flows.md)来部署提示,请参阅 [Amazon Bedrock 流的先决条件](flows-prereq.md),了解创建流必须设置的权限。 1. 如果您计划使用客户管理的密钥而不是使用客户管理的密钥来加密提示AWS 托管式密钥(有关更多信息,请参阅[AWS KMS密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)),请创建以下策略: 1. 按照[创建密钥策略中的步骤操作,将以下密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html)附加到 KMS 密钥,以允许 Amazon Bedrock 使用密钥加密和解密提示,必要时将其替换。*values*该策略在 `Condition` 字段中包含了可选的条件键(参阅 [Amazon Bedrock 的条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)和 [AWS 全局条件上下文键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)),建议您将其作为最佳安全实践使用。 ``` { "Sid": "EncryptFlowKMS", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-prompts:arn": "arn:${partition}:bedrock:${region}:${account-id}:prompt/${prompt-id}" } } } ``` 1. 按照[更新角色权限策略中的](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html#id_roles_update-role-permissions-policy)步骤操作,将以下策略附加到提示管理角色,必要时*values*将其替换,以允许其生成和解密客户托管密钥以获得提示。该策略在 `Condition` 字段中包含了可选的条件键(参阅 [Amazon Bedrock 的条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)和 [AWS 全局条件上下文键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)),建议您将其作为最佳安全实践使用。 ``` { "Sid": "KMSPermissions", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:${region}:${account-id}:key/${key-id}" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${account-id}" } } } ```