Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

Comment puis-je résoudre les erreurs d'autorisation qui s’affichent lorsque je crée une base de connaissances dans Amazon Bedrock ?

Lecture de 5 minute(s)

Je souhaite résoudre les erreurs d'autorisation qui s’affichent lorsque je crée une base de connaissances Amazon Bedrock.

Brève description

Vous devez utiliser un rôle de service pour créer une base de connaissances dans Amazon Bedrock. Le rôle de service fournit à Amazon Bedrock l'autorisation requise pour accéder aux services AWS nécessaires. Vous pouvez utiliser le rôle de service qu’Amazon Bedrock a créé, ou utiliser un rôle personnalisé que vous avez créé.

Résolution

Examinez les erreurs suivantes pour trouver la solution à votre problème.

Amazon Bedrock ne parvient pas à trouver le rôle personnalisé

Erreur : « Not able to find/see custom service role while creating KnowledgeBase from console »

Cette erreur se produit lorsque le rôle de service personnalisé ne dispose pas de la stratégie d’approbation nécessaire.

Pour résoudre l'erreur, associez une stratégie d’approbation au rôle de service.

Exemple de stratégie d’approbation :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        },
        "ArnLike": {
          "AWS:SourceArn": "arn:aws:bedrock:region:account-id:knowledge-base/*"
        }
      }
    }
  ]
}

Le rôle de service ne dispose pas des autorisations IAM requises

Erreur : « User: arn:aws:sts::999999999999: assumed-role/DataScientist/user is not authorized to perform: iam:CreateRole on resource: arn:aws:iam::9999999999:role/service-role/bedrock-knowledge-base because no identity-based policy allows the iam:CreateRole action »

L'erreur précédente se produit lorsque l'utilisateur ou le rôle AWS Identity and Access Management (IAM) que vous utilisez pour créer le rôle personnalisé ne dispose pas de l'autorisation iam:CreateRole.

Pour résoudre ce problème, ajoutez l'autorisation iam:CreateRole à votre stratégie IAM :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:CreateRole",
        "iam:PutRolePolicy",
       ],
       "Resource": "arn:aws:iam::*:role/SERVICE-ROLE-NAME"
    }
  ]
}

Erreur : « User: arn:aws:sts::999999999999: assumed-role/DataScientist/user is not authorized to perform: iam:PassRole on resource: arn:aws:iam::9999999999:role/service-role/bedrock-knowledge-base because no identity-based policy allows theiam:PassRole action »

L'erreur précédente se produit lorsque l'utilisateur IAM ne dispose pas de l'autorisation iam:PassRole qui lui permet de transmettre le rôle à Amazon Bedrock.

Pour résoudre ce problème, ajoutez l'autorisation iam:PassRole à votre stratégie IAM :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole",
       ],
       "Resource": "arn:aws:iam::*:role/SERVICE-ROLE-NAME"
    }
  ]
}

Vous recevez une erreur Bad Authorization ou 403 Forbidden

Erreur : « An error occurred (ValidationException) when calling the CreateKnowledgeBase operation: The knowledge base storage configuration provided is invalid... Bad Authorization »

-ou-

Erreur : « The knowledge base storage configuration provided is invalid... Request failed: [security_exception] 403 Forbidden »

Les erreurs précédentes se produisent dans les situations suivantes :

Le rôle de service ne dispose pas des autorisations nécessaires pour les collections Amazon OpenSearch sans serveur.
La stratégie d'accès aux données pour la collecte n'inclut pas le rôle de service dans la section Principal.
Amazon Bedrock n'a pas correctement authentifié la configuration d'AWS Secrets Manager.

Pour résoudre ces problèmes, assurez-vous que le rôle de service a accès aux collections OpenSearch sans serveur. Si vous avez créé une base de données vectorielles dans Amazon OpenSearch sans serveur pour votre base de connaissances, attachez la stratégie suivante au rôle de service Amazon Bedrock. La stratégie autorise Amazon Bedrock à accéder à la collection :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "aoss:APIAccessAll"
      ],
      "Resource": [
        "arn:aws:aoss:region:account-id:collection/collection-id"
      ]
    }
  ]
}

Vérifiez que la stratégie d'accès aux données de la collection autorise le rôle de service Amazon Bedrock. Assurez-vous également que le rôle de service Amazon Bedrock est répertorié dans la section Principal de la stratégie de contrôle d'accès aux données. Pour plus d'informations, consultez la section Contrôle d’accès aux données pour Amazon OpenSearch sans serveur.

Votre base de données vectorielles est peut-être configurée avec un secret AWS Secrets Manager. Assurez-vous que le rôle de service Amazon Bedrock permet à AWS Secrets Manager d'authentifier votre compte afin que vous puissiez accéder à la base de données. Pour plus d'informations, consultez la section Créer un rôle de service pour les bases de connaissances Amazon Bedrock.

L'index n'existe pas

Erreur : « The knowledge base storage configuration provided is invalid... no such index [bedrock-knowledge-base-default-index] »

Amazon OpenSearch sans serveur peut mettre un certain temps à distribuer les modifications ou mises à jour systémiques sur tous les nœuds ou les réplicas d'un index. L'erreur précédente peut se produire lorsque vous tentez d'accéder à des données pendant le processus de distribution.

Pour résoudre ce problème, prenez les mesures suivantes :

Vérifiez que le rôle de service que vous utilisez dispose des autorisations nécessaires pour accéder aux collections OpenSearch sans serveur ou à la base de données vectorielles sélectionnée.
Vérifiez que vous pouvez afficher ou créer un index manuellement dans OpenSearch sans serveur. Si vous pouvez créer manuellement un index, cela signifie que le problème est lié à la cohérence éventuelle du système. Si vous ne pouvez pas créer un index manuellement, vérifiez que vous disposez des autorisations requises pour en créer un. Pour plus d'informations, consultez la section Exemples de jeux de données sur les tableaux de bord OpenSearch.
Si vous disposez des autorisations nécessaires et que le problème persiste, attendez environ 5 minutes pour que la configuration apporte les modifications dans l'ensemble du système.

Sujets

Machine Learning et AI L’IA générative sur AWS

Balises

Amazon Bedrock

Langue

Français

AWS OFFICIELA mis à jour il y a 6 mois

Aucun commentaire

Contenus pertinents

Problème d'accès à une base de données logique dans une application laravel multi-tenant
PaulineE
demandé il y a 5 mois
Bedrock Titan completionReason CONTENT_FILTERED
Trento58
demandé il y a un an
Connexion base RDS Postgres à Power Bi Pro
GOT
demandé il y a un an
Mon loadbalancer ne marche pas comme il devrait
zerros
demandé il y a 2 ans
Reprise gestion AWS
Réponse acceptée
biotops
demandé il y a 2 ans
Comment résoudre l'erreur « Impossible de supprimer la base de connaissances » dans Amazon Bedrock ?
AWS OFFICIELA mis à jour il y a 8 mois
Comment utiliser la collection Amazon OpenSearch Serverless avec une stratégie réseau privé pour créer une base de connaissances dans Amazon Bedrock ?
AWS OFFICIELA mis à jour il y a un an
Comment puis-je utiliser l'API RetrieveAndGenerate pour réutiliser une session de base de connaissances dans Amazon Bedrock ?
AWS OFFICIELA mis à jour il y a un an
Comment puis-je synchroniser automatiquement mes données avec Amazon Bedrock ?
AWS OFFICIELA mis à jour il y a 5 mois