AWS verwaltete Richtlinien für Amazon Bedrock - Amazon Bedrock
AmazonBedrockFullAccessAmazonBedrockReadOnlyAmazonBedrockStudioPermissionsBoundaryRichtlinienaktualisierungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für Amazon Bedrock

Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um vom IAMKunden verwaltete Richtlinien zu erstellen, die Ihrem Team nur die Berechtigungen gewähren, die es benötigt. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.

AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.

AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die ReadOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und eine Beschreibung der Richtlinien für Jobfunktionen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien für Jobfunktionen.

AWS verwaltete Richtlinie: AmazonBedrockFullAccess

Sie können die AmazonBedrockFullAccess Richtlinie an Ihre IAM Identitäten anhängen.

Diese Richtlinie gewährt Administratorberechtigungen, mit denen Benutzer Amazon-Bedrock-Ressourcen erstellen, lesen, aktualisieren und löschen können.

Anmerkung

Für die Feinabstimmung und den Modellzugriff sind zusätzliche Berechtigungen erforderlich. Weitere Informationen finden Sie unter Gewähren des Zugriffs auf Modellabonnements von Drittanbietern und Berechtigungen für den Zugriff auf Schulungs- und Validierungsdateien sowie für das Schreiben von Ausgabedateien in S3.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • ec2(Amazon Elastic Compute Cloud) — Ermöglicht Berechtigungen zur Beschreibung VPCs von Subnetzen und Sicherheitsgruppen.

  • iam(AWS Identity and Access Management) — Ermöglicht Prinzipalen die Weitergabe von Rollen, erlaubt jedoch nur die Weitergabe von IAM Rollen mit „Amazon Bedrock“ an den Amazon Bedrock-Service. Die Berechtigungen sind auf bedrock.amazonaws.com für Amazon Bedrock-Operationen beschränkt.

  • kms(AWS Key Management Service) — Ermöglicht Prinzipalen die Beschreibung AWS KMS von Schlüsseln und Aliasnamen.

  • bedrock (Amazon Bedrock): Ermöglicht Prinzipalen Lese- und Schreibzugriff auf alle Aktionen in der Amazon-Bedrock-Steuerebene und im Runtime-Service. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "BedrockAll",
            "Effect": "Allow",
            "Action": [
                "bedrock:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DescribeKey",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:*:kms:*:::*"
        },
        {
            "Sid": "APIsWithAllResourceAccess",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PassRoleToBedrock",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*AmazonBedrock*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "bedrock.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AWS verwaltete Richtlinie: AmazonBedrockReadOnly

Sie können die AmazonBedrockReadOnly Richtlinie an Ihre IAM Identitäten anhängen.

Diese Richtlinie gewährt schreibgeschützte Berechtigungen, mit denen Benutzer alle Ressourcen in Amazon Bedrock anzeigen können.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonBedrockReadOnly",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetFoundationModel",
                "bedrock:ListFoundationModels",
                "bedrock:GetModelInvocationLoggingConfiguration",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:ListProvisionedModelThroughputs",
                "bedrock:GetModelCustomizationJob",
                "bedrock:ListModelCustomizationJobs",
                "bedrock:ListCustomModels",
                "bedrock:GetCustomModel",
                "bedrock:ListTagsForResource",
                "bedrock:GetFoundationModelAvailability"
            ],
            "Resource": "*"
        }
    ]
}

AWS verwaltete Richtlinie: AmazonBedrockStudioPermissionsBoundary

Anmerkung

  • Bei dieser Richtlinie handelt es sich um eine Grenze für Berechtigungen. Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einem IAM Prinzipal gewähren kann. Sie sollten die Grenzrichtlinien für Amazon Bedrock Studio-Berechtigungen nicht eigenständig verwenden und anhängen. Grenzrichtlinien für Amazon Bedrock Studio-Berechtigungen sollten nur an von Amazon Bedrock Studio verwaltete Rollen angehängt werden. Weitere Informationen zu Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM Entitäten im IAM Benutzerhandbuch.

  • In der aktuellen Version von Amazon Bedrock Studio wird weiterhin davon ausgegangen, dass in Ihrem AWS Konto eine ähnliche Richtlinie mit dem Namen AmazonDataZoneBedrockPermissionsBoundary existiert. Weitere Informationen finden Sie unter Schritt 2: Erstellen Sie eine Berechtigungsgrenze, eine Servicerolle und eine Bereitstellungsrolle.

Wenn Sie Amazon Bedrock Studio-Projekte, -Apps und -Komponenten erstellen, wendet Amazon Bedrock Studio diese Berechtigungsgrenze auf die IAM Rollen an, die bei der Erstellung dieser Ressourcen erstellt wurden.

Amazon Bedrock Studio verwendet die AmazonBedrockStudioPermissionsBoundary verwaltete Richtlinie, um die Berechtigungen des bereitgestellten IAM Prinzipals einzuschränken, an den sie angehängt ist. Principals können die Form von Benutzerrollen annehmen, die Amazon im Namen von Amazon Bedrock Studio-Benutzern übernehmen DataZone kann, und dann Aktionen wie das Lesen und Schreiben von Amazon S3 S3-Objekten oder das Aufrufen von Amazon Bedrock-Agenten ausführen.

Die AmazonBedrockStudioPermissionsBoundary Richtlinie gewährt Lese- und Schreibzugriff für Amazon Bedrock Studio auf Dienste wie Amazon S3, Amazon Bedrock, Amazon OpenSearch Serverless und. AWS Lambda Die Richtlinie gewährt auch Lese- und Schreibberechtigungen für einige Infrastrukturressourcen, die für die Nutzung dieser Dienste erforderlich sind, wie AWS Secrets Manager Manager-Geheimnisse, CloudWatch Amazon-Protokollgruppen und AWS KMS Schlüssel.

Diese Richtlinie besteht aus den folgenden Berechtigungssätzen.

  • s3— Ermöglicht Lese- und Schreibzugriff auf Objekte in Amazon S3 S3-Buckets, die von Amazon Bedrock Studio verwaltet werden.

  • bedrock— Gewährt die Möglichkeit, Amazon Bedrock-Agenten, Wissensdatenbanken und Guardrails zu verwenden, die von Amazon Bedrock Studio verwaltet werden.

  • aoss— Ermöglicht API den Zugriff auf Amazon OpenSearch Serverless-Sammlungen, die von Amazon Bedrock Studio verwaltet werden.

  • lambda— Ermöglicht das Aufrufen von AWS Lambda Funktionen, die von Amazon Bedrock Studio verwaltet werden.

  • secretsmanager— Ermöglicht Lese- und Schreibzugriff auf AWS Secrets Manager Manager-Geheimnisse, die von Amazon Bedrock Studio verwaltet werden.

  • logs— Bietet Schreibzugriff auf CloudWatch Amazon-Logs, die von Amazon Bedrock Studio verwaltet werden.

  • kms— Gewährt Zugriff auf die Verwendung von AWS Schlüsseln für die Verschlüsselung von Amazon Bedrock Studio-Daten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AccessS3Buckets",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion"
            ],
            "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AccessOpenSearchCollections",
            "Effect": "Allow",
            "Action": "aoss:APIAccessAll",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "InvokeBedrockModels",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": "arn:aws:bedrock:*::foundation-model/*"
        },
        {
            "Sid": "AccessBedrockResources",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent",
                "bedrock:Retrieve",
                "bedrock:StartIngestionJob",
                "bedrock:GetIngestionJob",
                "bedrock:ListIngestionJobs",
                "bedrock:ApplyGuardrail",
                "bedrock:ListPrompts",
                "bedrock:GetPrompt",
                "bedrock:CreatePrompt",
                "bedrock:DeletePrompt",
                "bedrock:CreatePromptVersion",
                "bedrock:InvokeFlow",
                "bedrock:ListTagsForResource",
                "bedrock:TagResource",
                "bedrock:UntagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/AmazonBedrockManaged": "true"
                },
                "Null": {
                    "aws:ResourceTag/AmazonDataZoneProject": "false"
                }
            }
        },
        {
            "Sid": "RetrieveAndGenerate",
            "Effect": "Allow",
            "Action": "bedrock:RetrieveAndGenerate",
            "Resource": "*"
        },
        {
            "Sid": "WriteLogs",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/AmazonBedrockManaged": "true"
                },
                "Null": {
                    "aws:ResourceTag/AmazonDataZoneProject": "false"
                }
            }
        },
        {
            "Sid": "InvokeLambdaFunctions",
            "Effect": "Allow",
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:*:*:function:br-studio-*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/AmazonBedrockManaged": "true"
                },
                "Null": {
                    "aws:ResourceTag/AmazonDataZoneProject": "false"
                }
            }
        },
        {
            "Sid": "AccessSecretsManagerSecrets",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:PutSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/AmazonBedrockManaged": "true"
                },
                "Null": {
                    "aws:ResourceTag/AmazonDataZoneProject": "false"
                }
            }
        },
        {
            "Sid": "UseKmsKeyWithBedrock",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/EnableBedrock": "true"
                },
                "Null": {
                    "kms:EncryptionContext:aws:bedrock:arn": "false"
                }
            }
        },
        {
            "Sid": "UseKmsKeyWithAwsServices",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/EnableBedrock": "true"
                },
                "StringLike": {
                    "kms:ViaService": [
                        "s3.*.amazonaws.com",
                        "secretsmanager.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Amazon Bedrock aktualisiert AWS verwaltete Richtlinien

Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon Bedrock an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS Feed auf der, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten. Dokumentverlauf für das Amazon-Bedrock-Benutzerhandbuch

Änderung Beschreibung Datum

AmazonBedrockStudioPermissionsBoundary – Neue Richtlinie.

Amazon Bedrock Studio hat die erste Version dieser Richtlinie veröffentlicht.

 31. Juli 2024

AmazonBedrockFullAccess – Neue Richtlinie.

Amazon Bedrock hat eine neue Richtlinie hinzugefügt, damit Benutzer Ressourcen erstellen, lesen, aktualisieren und löschen dürfen.

 12. Dezember 2023

AmazonBedrockReadOnly – Neue Richtlinie.

Amazon Bedrock hat eine neue Richtlinie hinzugefügt, die Benutzern schreibgeschützten Zugriff auf alle Aktionen gewährt.

 12. Dezember 2023

Amazon Bedrock hat mit der Nachverfolgung von Änderungen begonnen

Amazon Bedrock hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen.

 12. Dezember 2023