Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
Wie behebe ich Berechtigungsfehler, die beim Erstellen einer Wissensdatenbank in Amazon Bedrock auftreten?
Ich erhalte berechtigungsbezogene Fehler, wenn ich versuche, eine Amazon Bedrock-Wissensdatenbank zu erstellen. Ich möchte diese Berechtigungsfehler beheben, um die Wissensdatenbank erfolgreich einzurichten.
Kurzbeschreibung
Um eine Wissensdatenbank in Amazon Bedrock zu erstellen, musst du eine Servicerolle konfigurieren. Die Servicerolle gibt Amazon Bedrock die erforderlichen Berechtigungen für den Zugriff auf die erforderlichen AWS-Services. Du kannst entweder die Servicerolle verwenden, die Amazon Bedrock bereits für dich erstellt hat. Du kannst auch eine benutzerdefinierte Servicerolle erstellst und ihr die erforderlichen Berechtigungen zuweisen.
Lösung
Fehlende IAM-Servicerolle
Wenn du keine Richtlinie der Amazon Bedrock-Vertrauensbeziehung für die Identity and Access Management (IAM)-Servicerolle hast, um die Amazon Bedrock-Wissensdatenbank zu erstellen, erhältst du den folgenden Fehler:
"Bedrock Knowledge Base was unable to assume the given role. Provide the proper permissions and retry the request"
Um diesen Fehler zu beheben, füge der IAM-Richtlinie die folgende Vertrauensbeziehungsrichtlinie für Amazon Bedrock hinzu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Fehlende IAM-Berechtigungen
Wenn die IAM-Rolle, die du zum Erstellen der Amazon Bedrock-Wissensdatenbank verwendet hast, nicht über die iam:CreateRole-Berechtigung verfügt, erhältst du den folgenden Fehler:
"User: arn:aws:sts::account id:assumed-role/IAM role/IAM user is not authorized to perform: iam:CreateRole on resource: arn:aws:iam:region:account id:role/service-role/bedrock-knowledge-base because no identity-based policy allows the iam:CreateRole action"
Um diesen Fehler zu beheben, füge der IAM-Richtlinie die Berechtigung iam:CreateRole hinzu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/service-role-name" } ] }
Hinweis: Ersetze service-role-name durch den Service-Rollennamen.
Wenn die IAM-Rolle, die du zum Erstellen der Amazon Bedrock-Wissensdatenbank verwendet hast, nicht über die iam:PassRole-Berechtigung verfügt, erhältst du den folgenden Fehler:
"User: arn:aws:sts::account id:assumed-role/IAM role/IAM user is not authorized to perform: iam:PassRole on resource: arn:aws:iam:region:account id:role/service-role/bedrock-knowledge-base because no identity-based policy allows the iam:PassRole action"
Um diesen Fehler zu beheben, füge der IAM-Richtlinie die Berechtigung iam:PassRole hinzu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/service-role-name" } ] }
Hinweis: Ersetze service-role-name durch den Service-Rollennamen.
Fehlende Berechtigungen für eine Amazon OpenSearch Serverless-Sammlung
Wenn die IAM-Servicerolle nicht über die erforderlichen Berechtigungen für eine Amazon OpenSearch Serverless-Sammlung verfügt, erhältst du den folgenden Fehler:
"The knowledge base storage configuration provided is invalid... Request failed: [security_exception] 403 Forbidden"
Um diesen Fehler zu beheben, nimmst du die erforderlichen Berechtigungen für die Amazon OpenSearch Serverless-Sammlung in die IAM-Servicerolle auf. Wenn du in Amazon OpenSearch Serverless eine Vektordatenbank für die Wissensdatenbank erstellt hast, füge die folgende Richtlinie hinzu:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "OpenSearchServerlessAPIAccessAllStatement", "Effect": "Allow", "Action": [ "aoss:APIAccessAll" ], "Resource": [ "arn:aws:aoss:region:account-id:collection/collection-id" ] } ] }
Die vorstehende Richtlinie gewährt der IAM-Servicerolle, die du verwendest, Zugriff auf die Sammlung.
Stelle sicher, dass die Datenzugriffsrichtlinie der Amazon OpenSearch Serverless-Sammlungskonsole die Erlaubnis für die Amazon Bedrock-Servicerolle erteilt. Stelle außerdem sicher, dass die Amazon Bedrock-Servicerolle im Abschnitt Prinzipal der Datenzugriffskontrollrichtlinie aufgeführt ist.
Die Vektordatenbank ist möglicherweise mit einem geheimen AWS Secrets Manager-Schlüssel konfiguriert. Stelle sicher, dass die IAM-Servicerolle es AWS Secrets Manager ermöglicht, das Konto zu authentifizieren, damit du auf die Datenbank zugreifen kannst.
Fehlende Endpunktautorisierung
Wenn du den Amazon Bedrock-Endpunkt-Domainnamen nicht zur Netzwerkrichtlinie in der Amazon OpenSearch Service-Sammlung hinzugefügt hast, erhältst du den folgenden Fehler:
"The knowledge base storage configuration provided is invalid... Request failed: [http_exception] server returned 401"
Um Amazon Bedrock Zugriff auf die private Sammlung oder den Virtual Private Cloud (VPC)-Endpunkt zu gewähren, füge den Domainnamen des Endpunkts zur Netzwerkrichtlinie hinzu.
Um diesen Fehler zu beheben, aktualisiere die Sammlung mit einer privaten Netzwerkrichtlinie. Wenn du keine Sammlung mit einer privaten Netzwerkrichtlinie hast, musst du eine erstellen. Weitere Informationen findest du im Abschnitt Erstellen einer Sammlung mit einer privaten Netzwerkrichtlinie unter
Hinweis: Wenn du eine neue Sammlung erstellst, wähle als Zugriffstyp die Option Privat. Du musst auch den privaten Zugriff auf AWS-Services auswählen und dann bedrock.amazonaws.com zur Liste der erlaubten Services hinzufügen.
Fehlende CORS-Berechtigungen für den S3-Bucket
Wenn die Wissensdatenbank über eine Amazon Simple Storage Service (Amazon S3)-Datenquelle verfügt und der Bucket nicht über die erforderlichen Cross-Origin Resource Sharing (CORS)-Berechtigungen verfügt, erhältst du den folgenden Fehler:
"The knowledge base storage configuration provided is invalid... Dependency error document status code: 404, error message: no such index [bedrock-knowledge-base-default-index]"
Ohne die richtige CORS-Konfiguration im S3-Bucket kann die Amazon Bedrock-Wissensdatenbank nicht auf die im S3-Bucket gespeicherten Daten zugreifen.
Um den Fehler zu beheben, richte CORS im S3-Bucket mit der folgenden CORS-Konfiguration ein:
[ { "AllowedHeaders": [ "*" ], "AllowedMethods": [ "GET", "PUT", "POST", "DELETE" ], "AllowedOrigins": [ "*" ], "ExposeHeaders": [ "Access-Control-Allow-Origin" ] } ]
Möglicherweise erhältst du diesen Fehler auch, weil Amazon OpenSearch Serverless Zeit benötigt, um die Änderungen auf alle Knoten oder Replikate eines Indexes zu übertragen.
Gehe wie folgt vor, um das durch Amazon OpenSearch Serverless verursachte Verzögerungsproblem zu beheben:
- Stelle sicher, dass die Servicerolle, die du verwenden möchtest, über die Berechtigungen für den Zugriff auf und die Interaktion mit OpenSearch Serverless-Sammlungen und der ausgewählten Vektordatenbank verfügt.
- Prüfe, ob du einen vorhandenen Index hast oder ob du manuell einen neuen Index in Amazon OpenSearch Serverless erstellen kannst. Wenn du einen Index manuell über das Amazon OpenSearch-Dashboard erstellen können, liegt der Fehler möglicherweise an einer eventuellen Konsistenz innerhalb des Systems. Um diesen Fehler zu beheben, warte etwa 5 Minuten, bis das System die Änderungen vollständig übertragen und einen konsistenten Zustand erreicht hat. Wenn du einen Index nicht manuell erstellen kannst, stellst du sicher, dass du über die erforderlichen Berechtigungen verfügst. Weitere Informationen findest du unter Beispieldatensätze auf OpenSearch-Dashboards.
- Tags
- Amazon Bedrock
- Sprache
- Deutsch
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 8 Monaten
- AWS OFFICIALAktualisiert vor 4 Monaten