Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS verwaltete Richtlinien für Amazon Bedrock
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um von IAM-Kunden verwaltete Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die ReadOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und eine Beschreibung der Richtlinien für Jobfunktionen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien für Jobfunktionen.
Themen
AWS verwaltete Richtlinie: AmazonBedrockFullAccess
Sie können die AmazonBedrockFullAccess-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Administratorberechtigungen, mit denen Benutzer Amazon-Bedrock-Ressourcen erstellen, lesen, aktualisieren und löschen können.
Anmerkung
Für die Feinabstimmung und den Modellzugriff sind zusätzliche Berechtigungen erforderlich. Weitere Informationen finden Sie unter Gewähren des Zugriffs auf Modellabonnements von Drittanbietern und Berechtigungen für den Zugriff auf Schulungs- und Validierungsdateien sowie für das Schreiben von Ausgabedateien in S3.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen:
-
ec2(Amazon Elastic Compute Cloud) — Ermöglicht Berechtigungen zur Beschreibung VPCs von Subnetzen und Sicherheitsgruppen. -
iam(AWS Identity and Access Management) — Ermöglicht Prinzipalen die Weitergabe von Rollen, erlaubt aber nur die Weitergabe von IAM Rollen, die „Amazon Bedrock“ enthalten, an den Amazon Bedrock-Service. Die Berechtigungen sind aufbedrock.amazonaws.com.rproxy.goskope.comfür Amazon Bedrock-Operationen beschränkt. -
kms(AWS Key Management Service) — Ermöglicht Prinzipalen die Beschreibung AWS KMS von Schlüsseln und Aliasnamen. -
bedrock(Amazon Bedrock): Ermöglicht Prinzipalen Lese- und Schreibzugriff auf alle Aktionen in der Amazon-Bedrock-Steuerebene und im Runtime-Service. -
sagemaker(Amazon SageMaker AI) — Ermöglicht Principals den Zugriff auf die Amazon SageMaker AI-Ressourcen im Kundenkonto, das als Grundlage für die Amazon Bedrock Marketplace-Funktion dient.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BedrockAll", "Effect": "Allow", "Action": [ "bedrock:*" ], "Resource": "*" }, { "Sid": "DescribeKey", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:*:kms:*:::*" }, { "Sid": "APIsWithAllResourceAccess", "Effect": "Allow", "Action": [ "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "MarketplaceModelEndpointMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:DeleteEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com", "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible" } } }, { "Sid": "MarketplaceModelEndpointAddTagsOperations", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "sagemaker-sdk:bedrock", "bedrock:marketplace-registration-status", "sagemaker-studio:hub-content-arn" ] }, "StringLike": { "aws:RequestTag/sagemaker-sdk:bedrock": "compatible", "aws:RequestTag/bedrock:marketplace-registration-status": "registered", "aws:RequestTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*" } } }, { "Sid": "MarketplaceModelEndpointDeleteTagsOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "sagemaker-sdk:bedrock", "bedrock:marketplace-registration-status", "sagemaker-studio:hub-content-arn" ] }, "StringLike": { "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible", "aws:ResourceTag/bedrock:marketplace-registration-status": "registered", "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*" } } }, { "Sid": "MarketplaceModelEndpointNonMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "MarketplaceModelEndpointInvokingOperations", "Effect": "Allow", "Action": [ "sagemaker:InvokeEndpoint", "sagemaker:InvokeEndpointWithResponseStream" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com", "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible" } } }, { "Sid": "DiscoveringMarketplaceModel", "Effect": "Allow", "Action": [ "sagemaker:DescribeHubContent" ], "Resource": [ "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*", "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" ] }, { "Sid": "AllowMarketplaceModelsListing", "Effect": "Allow", "Action": [ "sagemaker:ListHubContents" ], "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" }, { "Sid": "PassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*SageMaker*ForBedrock*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "bedrock.amazonaws.com" ] } } }, { "Sid": "PassRoleToBedrock", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonBedrock*", "Condition": { "StringEquals": { "iam:PassedToService": [ "bedrock.amazonaws.com" ] } } } ] }
AWS verwaltete Richtlinie: AmazonBedrockReadOnly
Sie können die AmazonBedrockReadOnly-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt schreibgeschützte Berechtigungen, mit denen Benutzer alle Ressourcen in Amazon Bedrock anzeigen können.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonBedrockReadOnly", "Effect": "Allow", "Action": [ "bedrock:Get*", "bedrock:List*" ], "Resource": "*" }, { "Sid": "MarketplaceModelEndpointNonMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeInferenceComponent", "sagemaker:ListEndpoints", "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "DiscoveringMarketplaceModel", "Effect": "Allow", "Action": [ "sagemaker:DescribeHubContent" ], "Resource": [ "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*", "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" ] }, { "Sid": "AllowMarketplaceModelsListing", "Effect": "Allow", "Action": [ "sagemaker:ListHubContents" ], "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" } ] }
AWS verwaltete Richtlinie: AmazonBedrockStudioPermissionsBoundary
Anmerkung
Bei dieser Richtlinie handelt es sich um eine Berechtigungsgrenze. Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einem IAM Prinzipal gewähren kann. Sie sollten die Grenzrichtlinien für Amazon Bedrock Studio-Berechtigungen nicht eigenständig verwenden und anhängen. Grenzrichtlinien für Amazon Bedrock Studio-Berechtigungen sollten nur an von Amazon Bedrock Studio verwaltete Rollen angehängt werden. Weitere Informationen zu Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM Entitäten im IAM Benutzerhandbuch.
-
In der aktuellen Version von Amazon Bedrock Studio wird weiterhin davon ausgegangen, dass in Ihrem AWS Konto eine ähnliche Richtlinie mit dem Namen
AmazonDataZoneBedrockPermissionsBoundaryexistiert. Weitere Informationen finden Sie unter Schritt 2: Erstellen Sie eine Berechtigungsgrenze, eine Servicerolle und eine Bereitstellungsrolle.
Wenn Sie Amazon Bedrock Studio-Projekte, -Apps und -Komponenten erstellen, wendet Amazon Bedrock Studio diese Berechtigungsgrenze auf die IAM Rollen an, die bei der Erstellung dieser Ressourcen erstellt wurden.
Amazon Bedrock Studio verwendet die AmazonBedrockStudioPermissionsBoundary verwaltete Richtlinie, um die Berechtigungen des bereitgestellten IAM Prinzipals einzuschränken, an den sie angehängt ist. Principals können die Form von Benutzerrollen annehmen, die Amazon im Namen von Amazon Bedrock Studio-Benutzern übernehmen DataZone kann, und dann Aktionen wie das Lesen und Schreiben von Amazon S3 S3-Objekten oder das Aufrufen von Amazon Bedrock-Agenten ausführen.
Die AmazonBedrockStudioPermissionsBoundary Richtlinie gewährt Lese- und Schreibzugriff für Amazon Bedrock Studio auf Dienste wie Amazon S3, Amazon Bedrock, Amazon OpenSearch Serverless und. AWS Lambda Die Richtlinie gewährt auch Lese- und Schreibberechtigungen für einige Infrastrukturressourcen, die für die Nutzung dieser Dienste erforderlich sind, wie AWS Secrets Manager Manager-Geheimnisse, CloudWatch Amazon-Protokollgruppen und AWS KMS Schlüssel.
Diese Richtlinie besteht aus den folgenden Berechtigungssätzen.
s3— Ermöglicht Lese- und Schreibzugriff auf Objekte in Amazon S3 S3-Buckets, die von Amazon Bedrock Studio verwaltet werden.bedrock— Gewährt die Möglichkeit, Amazon Bedrock-Agenten, Wissensdatenbanken und Guardrails zu verwenden, die von Amazon Bedrock Studio verwaltet werden.aoss— Ermöglicht API den Zugriff auf Amazon OpenSearch Serverless-Sammlungen, die von Amazon Bedrock Studio verwaltet werden.lambda— Ermöglicht das Aufrufen von AWS Lambda Funktionen, die von Amazon Bedrock Studio verwaltet werden.secretsmanager— Ermöglicht Lese- und Schreibzugriff auf AWS Secrets Manager Manager-Geheimnisse, die von Amazon Bedrock Studio verwaltet werden.logs— Bietet Schreibzugriff auf CloudWatch Amazon-Logs, die von Amazon Bedrock Studio verwaltet werden.kms— Gewährt Zugriff auf die Verwendung von AWS Schlüsseln für die Verschlüsselung von Amazon Bedrock Studio-Daten.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessS3Buckets", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListBucketVersions", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:DeleteObjectVersion" ], "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AccessOpenSearchCollections", "Effect": "Allow", "Action": "aoss:APIAccessAll", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "InvokeBedrockModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "arn:aws:bedrock:*::foundation-model/*" }, { "Sid": "AccessBedrockResources", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent", "bedrock:Retrieve", "bedrock:StartIngestionJob", "bedrock:GetIngestionJob", "bedrock:ListIngestionJobs", "bedrock:ApplyGuardrail", "bedrock:ListPrompts", "bedrock:GetPrompt", "bedrock:CreatePrompt", "bedrock:DeletePrompt", "bedrock:CreatePromptVersion", "bedrock:InvokeFlow", "bedrock:ListTagsForResource", "bedrock:TagResource", "bedrock:UntagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "RetrieveAndGenerate", "Effect": "Allow", "Action": "bedrock:RetrieveAndGenerate", "Resource": "*" }, { "Sid": "WriteLogs", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "InvokeLambdaFunctions", "Effect": "Allow", "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:*:*:function:br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "AccessSecretsManagerSecrets", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "UseKmsKeyWithBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "Null": { "kms:EncryptionContext:aws:bedrock:arn": "false" } } }, { "Sid": "UseKmsKeyWithAwsServices", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com", "secretsmanager.*.amazonaws.com" ] } } } ] }
Amazon Bedrock aktualisiert AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon Bedrock an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS Feed auf der, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten. Dokumentverlauf für das Amazon-Bedrock-Benutzerhandbuch
| Änderung | Beschreibung | Datum |
|---|---|---|
|
AmazonBedrockFullAccess— Aktualisierte Richtlinie |
Amazon Bedrock AmazonBedrockFullAccess hat die verwaltete Richtlinie aktualisiert, um Kunden die erforderlichen Berechtigungen zum Erstellen, Lesen, Aktualisieren und Löschen von Amazon Bedrock Marketplace-Ressourcen zu gewähren. Dazu gehören auch Berechtigungen zur Verwaltung der zugrunde liegenden Amazon SageMaker KI-Ressourcen, da diese als Grundlage für die Amazon Bedrock Marketplace-Funktionalität dienen. |
4. Dezember 2024 |
|
AmazonBedrockReadOnly— Aktualisierte Richtlinie |
Amazon Bedrock AmazonBedrockReadOnly hat die verwaltete Richtlinie aktualisiert, um Kunden die erforderlichen Berechtigungen zum Lesen von Amazon Bedrock Marketplace-Ressourcen zu gewähren. Dazu gehören auch Berechtigungen zur Verwaltung der zugrunde liegenden Amazon SageMaker KI-Ressourcen, da diese als Grundlage für die Amazon Bedrock Marketplace-Funktionalität dienen. |
4. Dezember 2024 |
|
AmazonBedrockReadOnly— Aktualisierte Richtlinie |
Amazon Bedrock hat die AmazonBedrockReadOnly Richtlinie aktualisiert und nun auch Leseberechtigungen für den Import von benutzerdefinierten Modellen hinzugefügt. |
18. Oktober 2024 |
|
AmazonBedrockReadOnly— Aktualisierte Richtlinie |
Amazon Bedrock hat Leseberechtigungen für Inferenzprofile hinzugefügt. |
27. August 2024 |
|
AmazonBedrockReadOnly— Aktualisierte Richtlinie |
Amazon Bedrock hat die AmazonBedrockReadOnly Richtlinie aktualisiert und umfasst nun nur noch Leseberechtigungen für Amazon Bedrock Guardrails, Amazon Bedrock Model Evaluation und Amazon Bedrock Batch Inference. |
21. August 2024 |
|
AmazonBedrockReadOnly— Aktualisierte Richtlinie |
Amazon Bedrock hat Leseberechtigungen für Batch-Inferenz (Model-Aufruf-Job) hinzugefügt. |
21. August 2024 |
|
AmazonBedrockStudioPermissionsBoundary – Neue Richtlinie |
Amazon Bedrock hat die erste Version dieser Richtlinie veröffentlicht. |
31. Juli 2024 |
|
AmazonBedrockReadOnly— Aktualisierte Richtlinie |
Amazon Bedrock hat die AmazonBedrockReadOnly Richtlinie aktualisiert und nun auch Leseberechtigungen für Amazon Bedrock Custom Model Import hinzugefügt. |
3. September 2024 |
|
AmazonBedrockFullAccess – Neue Richtlinie |
Amazon Bedrock hat eine neue Richtlinie hinzugefügt, damit Benutzer Ressourcen erstellen, lesen, aktualisieren und löschen dürfen. |
12. Dezember 2023 |
|
AmazonBedrockReadOnly – Neue Richtlinie |
Amazon Bedrock hat eine neue Richtlinie hinzugefügt, die Benutzern schreibgeschützten Zugriff auf alle Aktionen gewährt. |
12. Dezember 2023 |
|
Amazon Bedrock hat mit der Nachverfolgung von Änderungen begonnen |
Amazon Bedrock hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. |
12. Dezember 2023 |
