本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 提示管理先決條件 若要讓角色使用提示管理,您必須允許角色執行一組特定的 API 動作。檢閱下列先決條件,並滿足適用於您使用案例的先決條件: 1. 如果您的角色已連接 [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)AWS 受管政策,您可以略過本節。否則,請遵循[更新角色的許可政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html#id_roles_update-role-permissions-policy)中的步驟,並將下列政策連接至角色,以提供執行提示管理相關動作的許可: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "PromptManagementPermissions", "Effect": "Allow", "Action": [ "bedrock:CreatePrompt", "bedrock:UpdatePrompt", "bedrock:GetPrompt", "bedrock:ListPrompts", "bedrock:DeletePrompt", "bedrock:CreatePromptVersion", "bedrock:OptimizePrompt", "bedrock:GetFoundationModel", "bedrock:ListFoundationModels", "bedrock:GetInferenceProfile", "bedrock:ListInferenceProfiles", "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream", "bedrock:RenderPrompt", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource" ], "Resource": "*" } ] } ``` ------ 若要進一步限制許可,您可以忽略動作,也可以指定要篩選許可的資源和條件索引鍵。如需動作、資源和條件索引鍵的詳細資訊,請參閱*服務授權參考*中的下列主題: + [Amazon Bedrock 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) – 了解動作、您可以在 `Resource` 欄位中限制其範圍的資源類型,以及您可以在 `Condition` 欄位中篩選許可的條件索引鍵。 + [Amazon Bedrock 定義的資源類型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) – 了解 Amazon Bedrock 中的資源類型。 + [Amazon Bedrock 的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) – 了解 Amazon Bedrock 中的條件索引鍵。 **注意** 如果您計劃使用 [Converse](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html) API 部署提示,請參閱 [執行模型推論的必要條件](inference-prereq.md) 以了解您必須設定才能調用提示的許可。 如果您計劃在 Amazon Bedrock 流程中使用[流程](flows.md)來部署提示,請參閱 [Amazon Bedrock 流程的必要條件](flows-prereq.md) 以了解您必須設定才能建立流程的許可。 1. 如果您計劃使用客戶受管金鑰加密提示,而不是使用 AWS 受管金鑰(如需詳細資訊,請參閱 [AWS KMS金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)),請建立下列政策: 1. 請遵循[建立金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html)中的步驟,並將下列金鑰政策連接至 KMS 金鑰,以允許 Amazon Bedrock 使用金鑰加密和解密提示,並視需要取代*值*。政策包含 `Condition` 欄位中的選用條件索引鍵 (請參閱 [Amazon Bedrock 的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)和 [AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)),建議您將其用作安全最佳實務。 ``` { "Sid": "EncryptFlowKMS", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-prompts:arn": "arn:${partition}:bedrock:${region}:${account-id}:prompt/${prompt-id}" } } } ``` 1. 遵循[更新角色的許可政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html#id_roles_update-role-permissions-policy)中的步驟,並將下列政策連接至提示管理角色,視需要取代*值*,以允許其針對提示產生和解密客戶受管金鑰。政策包含 `Condition` 欄位中的選用條件索引鍵 (請參閱 [Amazon Bedrock 的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)和 [AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)),建議您將其用作安全最佳實務。 ``` { "Sid": "KMSPermissions", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:${region}:${account-id}:key/${key-id}" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${account-id}" } } } ```