Comment puis-je résoudre les erreurs d'autorisation qui s’affichent lorsque je crée une base de connaissances dans Amazon Bedrock ?

Brève description

Pour créer une base de connaissances dans Amazon Bedrock, vous devez configurer un rôle de service. Le rôle de service confère à Amazon Bedrock les autorisations nécessaires pour accéder aux services AWS requis. Vous pouvez utiliser le rôle de service d'Amazon Bedrock a déjà créé pour vous. Vous pouvez également créer un rôle de service personnalisé et lui attribuer les autorisations requises.

Résolution

Rôle de service IAM manquant

Si vous ne disposez pas d'une politique de relation d’approbation Amazon Bedrock pour le rôle de service Gestion des identités et des accès AWS (AWS IAM) afin de créer la base de connaissances Amazon Bedrock, le message d'erreur suivant s'affiche :

"Bedrock Knowledge Base was unable to assume the given role. Provide the proper permissions and retry the request"

Pour résoudre cette erreur, attachez la politique de relation d’approbation suivante pour Amazon Bedrock à votre politique IAM :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Autorisations IAM manquantes

Si le rôle IAM que vous avez utilisé pour créer la base de connaissances Amazon Bedrock ne dispose pas de l'autorisation iam:CreateRole, le message d'erreur suivant s'affiche :

"User: arn:aws:sts::account id:assumed-role/IAM role/IAM user is not authorized to perform: iam:CreateRole on resource: arn:aws:iam:region:account id:role/service-role/bedrock-knowledge-base because no identity-based policy allows the iam:CreateRole action"

Pour résoudre cette erreur, ajoutez l'autorisation iam:CreateRole à votre politique IAM :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:CreateRole",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/service-role-name"
        }
    ]
}

Remarque : Remplacez service-role-name par le nom de votre rôle de service.

Si le rôle IAM que vous avez utilisé pour créer la base de connaissances Amazon Bedrock ne dispose pas de l'autorisation iam:PassRole, le message d'erreur suivant s'affiche :

"User: arn:aws:sts::account id:assumed-role/IAM role/IAM user is not authorized to perform: iam:PassRole on resource: arn:aws:iam:region:account id:role/service-role/bedrock-knowledge-base because no identity-based policy allows the iam:PassRole action"

Pour résoudre cette erreur, ajoutez l'autorisation iam:PassRole à votre politique IAM :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/service-role-name"
        }
    ]
}

Remarque : Remplacez service-role-name par le nom de votre rôle de service.

Autorisations manquantes pour une collection Amazon OpenSearch sans serveur

Si le rôle de service IAM ne dispose pas des autorisations nécessaires pour une collection Amazon OpenSearch sans serveur, le message d'erreur suivant s'affiche :

"The knowledge base storage configuration provided is invalid... Request failed: [security_exception] 403 Forbidden"

Pour résoudre cette erreur, incluez les autorisations nécessaires pour votre collection Amazon OpenSearch sans serveur dans votre rôle de service IAM. Si vous avez créé une base de données vectorielles dans Amazon OpenSearch sans serveur pour votre base de connaissances, attachez la politique suivante :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OpenSearchServerlessAPIAccessAllStatement",
            "Effect": "Allow",
            "Action": [
                "aoss:APIAccessAll"
            ],
            "Resource": [
                "arn:aws:aoss:region:account-id:collection/collection-id"
            ]
        }
    ]
}

La politique précédente fournit le rôle de service IAM que vous utilisez pour accéder à la collection.

Vérifiez que la politique d'accès aux données de la console de collecte Amazon OpenSearch sans serveur autorise le rôle de service Amazon Bedrock. Assurez-vous également que le rôle de service Amazon Bedrock est répertorié dans la section Principal de la politique de contrôle d'accès aux données.

Votre base de données vectorielles est peut-être configurée avec un secret AWS Secrets Manager. Assurez-vous que le rôle de service IAM permet à AWS Secrets Manager d'authentifier votre compte afin que vous puissiez accéder à la base de données.

Autorisation de point de terminaison manquante

Si vous n'avez pas ajouté le nom de domaine du point de terminaison Amazon Bedrock à la politique réseau de la collection Amazon OpenSearch Service, le message d'erreur suivant s'affiche :

"The knowledge base storage configuration provided is invalid... Request failed: [http_exception] server returned 401"

Pour permettre à Amazon Bedrock d'accéder à la collection privée ou au point de terminaison du cloud privé virtuel (VPC), ajoutez le nom de domaine du point de terminaison à la politique réseau.

Pour résoudre cette erreur, mettez à jour votre collection avec une politique de réseau privé. Si vous ne disposez pas d’une collection dotée d'une politique de réseau privé, vous devez en créer une. Pour plus d'informations, consultez la section Créer une collection avec une politique de réseau privé dans

Comment utiliser la collection Amazon OpenSearch sans serveur avec une politique réseau privé pour créer une base de connaissances dans Amazon Bedrock ?

Remarque : Lorsque vous créez une nouvelle collection, dans Type d'accès, choisissez Privé. Vous devez également sélectionner l'accès privé aux services AWS, puis ajouter bedrock.amazonaws.com à la liste de services autorisés.

Autorisations CORS manquantes pour votre compartiment S3

Si votre base de connaissances inclut une source de données Amazon Simple Storage Service (Amazon S3) et que le compartiment ne dispose pas d’autorisations CORS (partage des ressources cross-origin) nécessaires, le message d'erreur suivant s'affiche :

"The knowledge base storage configuration provided is invalid... Dependency error document status code: 404, error message: no such index [bedrock-knowledge-base-default-index]"

Sans configuration CORS appropriée sur le compartiment S3, la base de connaissances Amazon Bedrock ne peut pas accéder aux données stockées dans le compartiment S3.

Pour résoudre l'erreur, configurez CORS dans votre compartiment S3 avec la configuration CORS suivante :

[
    {
        "AllowedHeaders": [
            "*"
        ],
        "AllowedMethods": [
            "GET",
            "PUT",
            "POST",
            "DELETE"
        ],
        "AllowedOrigins": [
            "*"
        ],
        "ExposeHeaders": [
            "Access-Control-Allow-Origin"
        ]
    }
]

Vous pouvez également recevoir cette erreur car Amazon OpenSearch sans serveur a besoin de temps pour propager les modifications sur tous les nœuds ou réplicas d'un index.

Pour résoudre le problème de retard causé par Amazon OpenSearch sans serveur, procédez comme suit :

• Assurez-vous que le rôle de service que vous souhaitez utiliser dispose des autorisations nécessaires pour accéder et interagir avec les collections OpenSearch sans serveur et la base de données vectorielles sélectionnée.
• Vérifiez si vous disposez d'un index existant ou si vous pouvez créer manuellement un nouvel index dans Amazon OpenSearch sans serveur. Si vous pouvez créer manuellement un index à partir du tableau de bord Amazon OpenSearch, votre erreur peut être due à une éventuelle cohérence du système. Pour résoudre cette erreur, attendez environ 5 minutes pour permettre au système de propager complètement les modifications et d'atteindre un état cohérent. Si vous ne pouvez pas créer un index manuellement, assurez-vous de disposer des autorisations nécessaires pour ce faire. Pour plus d'informations, consultez la section Exemples de jeux de données sur les tableaux de bord OpenSearch.