Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Zustandstasten für Amazon Bedrock Agentcore
Amazon Bedrock Agentcore (Servicepräfix:bedrock-agentcore) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM-Berechtigungsrichtlinien bereit.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Zeigen Sie eine Liste der API-Operationen an, die für diesen Service verfügbar sind.
-
Erfahren Sie, wie Sie diesen Service und seine Ressourcen mithilfe von IAM-Berechtigungsrichtlinien schützen.
Themen
Von Amazon Bedrock Agentcore definierte Aktionen
Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, erlauben oder verweigern Sie in der Regel den Zugriff auf die API-Operation oder den CLI-Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
In der Spalte Zugriffsebene der Tabelle Aktionen wird beschrieben, wie die Aktion klassifiziert ist (Liste, Lesen, Verwaltung von Berechtigungen oder Tagging). Diese Klassifizierung gibt an, welche Zugriffsebene die betreffende Aktion gewährt, wenn Sie sie in einer Richtlinie verwenden. Weitere Informationen zu Zugriffsebenen finden Sie unter Zugriffsebenen in Richtlinienzusammenfassungen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie einen ARN dieses Typs in einer Anweisung mit dieser Aktion angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Element Resource in einer IAM-Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp einen ARN oder ein Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
In der Spalte „Abhängige Aktionen“ der Tabelle „Aktionen“ werden zusätzliche Berechtigungen angezeigt, die möglicherweise erforderlich sind, um eine Aktion erfolgreich aufzurufen. Diese Berechtigungen sind möglicherweise zusätzlich zu der Berechtigung für die Aktion selbst erforderlich. Wenn eine Aktion abhängige Aktionen spezifiziert, können diese Abhängigkeiten für zusätzliche Ressourcen gelten, die für diese Aktion definiert wurden, nicht nur für die erste Ressource, die in der Tabelle aufgeführt ist.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
| Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
|---|---|---|---|---|---|
| AllowVendedLogDeliveryForResource [nur Berechtigung] | Erteilt die Berechtigung, Verkaufstelemetrie für eine Ressource zu konfigurieren | Berechtigungsverwaltung | |||
| AuthorizeAction [nur Berechtigung] | Erteilt die Erlaubnis, die Cedar-Richtlinien für Autorisierungsanfragen auszuwerten | Berechtigungsverwaltung | |||
| BatchCreateMemoryRecords | Erteilt die Erlaubnis, einen oder mehrere Speicherdatensätze zu erstellen | Schreiben | |||
| BatchDeleteMemoryRecords | Erteilt die Berechtigung zum Löschen eines oder mehrerer Speicherdatensätze | Schreiben | |||
| BatchUpdateMemoryRecords | Erteilt die Berechtigung, einen oder mehrere Speicherdatensätze zu aktualisieren | Schreiben | |||
| CompleteResourceTokenAuth | Erteilt die Berechtigung zum Abrufen des Zugriffstokens mit OAuth2 für den 3LO-Flow für den Zugriff auf externe Ressourcen | Lesen | |||
|
bedrock-agentcore:InboundJwtClaim/iss bedrock-agentcore:InboundJwtClaim/sub bedrock-agentcore:InboundJwtClaim/aud bedrock-agentcore:InboundJwtClaim/scope |
|||||
| ConnectBrowserAutomationStream | Erteilt die Berechtigung, eine Verbindung zu einem Browser-Automatisierungsstream herzustellen | Lesen | |||
| ConnectBrowserLiveViewStream | Erteilt die Berechtigung, eine Verbindung zu einem Browser-Live-View-Stream herzustellen | Lesen | |||
| CreateABTest | Erteilt die Erlaubnis, einen A/B Test zu erstellen | Schreiben |
iam:PassRole |
||
| CreateAgentRuntime | Erteilt die Berechtigung zum Erstellen einer neuen Agentenlaufzeit | Schreiben |
iam:PassRole |
||
| CreateAgentRuntimeEndpoint | Erteilt die Berechtigung zum Erstellen eines neuen Agenten-Runtime-Endpunkts | Schreiben | |||
| CreateApiKeyCredentialProvider | Erteilt die Berechtigung zum Erstellen eines neuen API-Schlüsselanmeldeanbieters | Schreiben | |||
| CreateBrowser | Erteilt die Erlaubnis, einen neuen benutzerdefinierten Browser zu erstellen | Schreiben | |||
| CreateBrowserProfile | Erteilt die Berechtigung zum Erstellen eines neuen Browserprofils | Schreiben | |||
| CreateCodeInterpreter | Erteilt die Erlaubnis, einen neuen Interpreter für benutzerdefinierten Code zu erstellen | Schreiben | |||
| CreateConfigurationBundle | Erteilt die Berechtigung zum Erstellen eines neuen Konfigurationspakets | Schreiben | |||
| CreateEvaluator | Erteilt die Erlaubnis, einen neuen Evaluator zu erstellen | Schreiben | |||
| CreateEvent | Erteilt die Erlaubnis, ein Ereignis zu erstellen | Schreiben | |||
| CreateGateway | Erteilt die Erlaubnis, ein neues Gateway zu erstellen | Schreiben |
iam:PassRole |
||
| CreateGatewayRule | Erteilt die Erlaubnis, eine neue Regel in einem vorhandenen Gateway zu erstellen | Schreiben | |||
| CreateGatewayTarget | Erteilt die Berechtigung, ein neues Ziel in einem vorhandenen Gateway zu erstellen | Schreiben | |||
| CreateHarness | Erteilt die Berechtigung zum Erstellen eines neuen Kabelbaums | Schreiben |
bedrock-agentcore:CreateAgentRuntime bedrock-agentcore:GetAgentRuntime iam:PassRole |
||
| CreateMemory | Erteilt die Berechtigung zum Erstellen einer Speicherressource | Schreiben |
iam:PassRole |
||
| CreateOauth2CredentialProvider | Erteilt die Berechtigung zum Erstellen eines neuen Anmeldeinformationsanbieters für den Zugriff auf externe Ressourcen mit dem OAuth2-Protokoll | Schreiben | |||
| CreateOnlineEvaluationConfig | Erteilt die Berechtigung zum Erstellen einer neuen Online-Testkonfiguration | Schreiben |
iam:PassRole |
||
| CreatePaymentConnector | Erteilt einem Zahlungsmanager die Erlaubnis, einen neuen Zahlungskonnektor zu erstellen | Schreiben | |||
| CreatePaymentCredentialProvider | Erteilt die Erlaubnis, einen neuen Anbieter für Zahlungsnachweise zu erstellen | Schreiben | |||
| CreatePaymentInstrument | Erteilt die Erlaubnis, ein neues Zahlungsinstrument zu erstellen | Schreiben | |||
| CreatePaymentManager | Erteilt die Erlaubnis, einen neuen Zahlungsmanager zu erstellen | Schreiben |
iam:PassRole |
||
| CreatePaymentSession | Erteilt die Erlaubnis, eine neue Zahlungssitzung zu erstellen | Schreiben | |||
| CreatePolicy | Erteilt die Berechtigung zum Erstellen einer neuen Richtlinie in einer Policy-Engine | Schreiben | |||
| CreatePolicyEngine | Erteilt die Berechtigung zum Erstellen einer neuen Policy-Engine | Schreiben | |||
| CreateRegistry | Erteilt die Erlaubnis, eine neue Registrierung zu erstellen | Schreiben | |||
| CreateRegistryRecord | Erteilt die Berechtigung zum Erstellen eines neuen Registrierungsdatensatzes | Schreiben | |||
| CreateWorkloadIdentity | Erteilt die Berechtigung zum Erstellen einer neuen Workload-Identität | Schreiben | |||
| DeleteABTest | Erteilt die Erlaubnis, einen A/B Test zu löschen | Schreiben | |||
| DeleteAgentRuntime | Erteilt die Berechtigung zum Löschen einer Agenten-Laufzeit | Schreiben | |||
| DeleteAgentRuntimeEndpoint | Erteilt die Berechtigung zum Löschen eines Agenten-Runtime-Endpunkts | Schreiben | |||
| DeleteApiKeyCredentialProvider | Erteilt die Berechtigung zum Löschen eines registrierten API-Schlüsselanmeldeanbieters | Schreiben | |||
| DeleteBatchEvaluation | Erteilt die Berechtigung zum Löschen einer Batch-Auswertung | Schreiben | |||
| DeleteBrowser | Erteilt die Berechtigung zum Löschen eines benutzerdefinierten Browsers | Schreiben | |||
| DeleteBrowserProfile | Erteilt die Berechtigung zum Löschen eines Browserprofils | Schreiben | |||
| DeleteCodeInterpreter | Erteilt die Berechtigung zum Löschen eines benutzerdefinierten Codeinterpreters | Schreiben | |||
| DeleteConfigurationBundle | Erteilt die Berechtigung zum Löschen eines Konfigurationspakets | Schreiben | |||
| DeleteEvaluator | Erteilt die Berechtigung zum Löschen eines Evaluators | Schreiben | |||
| DeleteEvent | Erteilt die Erlaubnis, ein Ereignis zu löschen | Schreiben | |||
| DeleteGateway | Erteilt die Erlaubnis, ein vorhandenes Gateway zu löschen | Schreiben | |||
| DeleteGatewayRule | Erteilt die Berechtigung zum Löschen einer vorhandenen Gatewayregel | Schreiben | |||
| DeleteGatewayTarget | Erteilt die Berechtigung zum Löschen eines vorhandenen Gateway-Ziels | Schreiben | |||
| DeleteHarness | Erteilt die Berechtigung zum Löschen eines Kabelbaums | Schreiben |
bedrock-agentcore:DeleteAgentRuntime bedrock-agentcore:GetAgentRuntime iam:PassRole |
||
| DeleteMemory | Erteilt die Berechtigung zum Löschen einer Speicherressource | Schreiben | |||
| DeleteMemoryRecord | Erteilt die Berechtigung zum Löschen eines Speicherdatensatzes | Schreiben | |||
| DeleteOauth2CredentialProvider | Erteilt die Berechtigung zum Löschen eines registrierten OAuth2-Anmeldeinformationsanbieters | Schreiben | |||
| DeleteOnlineEvaluationConfig | Erteilt die Berechtigung zum Löschen einer Online-Testkonfiguration | Schreiben | |||
| DeletePaymentConnector | Erteilt die Erlaubnis, einen Zahlungskonnektor zu löschen | Schreiben | |||
| DeletePaymentCredentialProvider | Erteilt die Erlaubnis, einen registrierten Zahlungsdienstleister zu löschen | Schreiben | |||
| DeletePaymentInstrument | Gewährt die Berechtigung, ein Zahlungsinstrument zu löschen | Schreiben | |||
| DeletePaymentManager | Erteilt die Erlaubnis, einen Zahlungsmanager zu löschen | Schreiben | |||
| DeletePaymentSession | Erteilt die Erlaubnis, eine Zahlungssitzung zu löschen | Schreiben | |||
| DeletePolicy | Erteilt die Erlaubnis zum Löschen einer Richtlinie | Schreiben | |||
| DeletePolicyEngine | Erteilt die Berechtigung zum Löschen einer Policy-Engine | Schreiben | |||
| DeleteRecommendation | Erteilt die Berechtigung zum Löschen einer Empfehlung | Schreiben | |||
| DeleteRegistry | Erteilt die Erlaubnis, eine bestehende Registrierung zu löschen | Schreiben | |||
| DeleteRegistryRecord | Erteilt die Berechtigung zum Löschen eines vorhandenen Registrierungsdatensatzes | Schreiben | |||
| DeleteResourcePolicy | Erteilt die Berechtigung zum Löschen der ressourcenbasierten Richtlinie für eine Bedrock-Ressource | Schreiben | |||
| DeleteWorkloadIdentity | Erteilt die Berechtigung zum Löschen einer registrierten Workload-Identität | Schreiben | |||
| Evaluate | Erteilt die Erlaubnis, eine Bewertung mithilfe eines Evaluators durchzuführen | Schreiben | |||
| GetABTest | Erteilt die Erlaubnis, Details zu einem Test abzurufen A/B | Lesen | |||
| GetAgentCard | Erteilt die Erlaubnis, eine Agentenkarte für A2A abzurufen | Lesen | |||
| GetAgentRuntime | Erteilt die Berechtigung, Details zur Laufzeit eines Agenten abzurufen | Lesen | |||
| GetAgentRuntimeEndpoint | Erteilt die Berechtigung, Details eines Agenten-Runtime-Endpunkts abzurufen | Lesen | |||
| GetApiKeyCredentialProvider | Erteilt die Berechtigung, einen registrierten API-Schlüsselanmeldedienstanbieter anhand seines Namens abzurufen | Lesen | |||
| GetBatchEvaluation | Erteilt die Erlaubnis, Details einer Batch-Auswertung abzurufen | Lesen | |||
| GetBrowser | Erteilt die Erlaubnis, Details zu einem Browser abzurufen | Lesen | |||
| GetBrowserProfile | Erteilt die Erlaubnis, Details eines Browserprofils abzurufen | Lesen | |||
| GetBrowserSession | Erteilt die Erlaubnis, Details einer Browsersitzung abzurufen | Lesen | |||
| GetCodeInterpreter | Erteilt die Erlaubnis, Details eines Codeinterpreters abzurufen | Lesen | |||
| GetCodeInterpreterSession | Erteilt die Erlaubnis, Details einer Codeinterpreter-Sitzung abzurufen | Lesen | |||
| GetConfigurationBundle | Erteilt die Erlaubnis, Details zu einem Konfigurationspaket abzurufen | Lesen | |||
| GetConfigurationBundleVersion | Erteilt die Erlaubnis, eine bestimmte Version eines Konfigurationspakets abzurufen | Lesen | |||
| GetEvaluator | Erteilt die Erlaubnis, Details eines Evaluators abzurufen | Lesen | |||
| GetEvent | Erteilt die Erlaubnis, ein Ereignis abzurufen | Lesen | |||
| GetGateway | Erteilt die Erlaubnis, ein vorhandenes Gateway abzurufen | Lesen | |||
| GetGatewayRule | Erteilt die Berechtigung zum Abrufen einer vorhandenen Gatewayregel | Lesen | |||
| GetGatewayTarget | Erteilt die Berechtigung zum Abrufen eines vorhandenen Gateway-Ziels | Lesen | |||
| GetHarness | Erteilt die Erlaubnis, Details zu einem Kabelbaum abzurufen | Lesen | |||
| GetMemory | Erteilt die Berechtigung zum Abrufen von Details für eine Speicherressource | Lesen | |||
| GetMemoryRecord | Erteilt die Berechtigung zum Abrufen eines Speicherdatensatzes | Lesen | |||
| GetOauth2CredentialProvider | Erteilt die Berechtigung, einen registrierten OAuth2-Anmeldeinformationsanbieter anhand seines Namens abzurufen | Lesen | |||
| GetOnlineEvaluationConfig | Erteilt die Erlaubnis, Details einer Online-Testkonfiguration abzurufen | Lesen | |||
| GetPaymentConnector | Erteilt die Erlaubnis, Details eines Zahlungskonnektors abzurufen | Lesen | |||
| GetPaymentCredentialProvider | Erteilt die Erlaubnis, einen registrierten Zahlungsdienstleister anhand seines Namens abzurufen | Lesen | |||
| GetPaymentInstrument | Erteilt die Erlaubnis, Details eines Zahlungsinstruments abzurufen | Lesen | |||
| GetPaymentInstrumentBalance | Erteilt die Erlaubnis, den Saldo eines Zahlungsinstruments abzurufen | Lesen | |||
| GetPaymentManager | Erteilt die Erlaubnis, die Daten eines Zahlungsmanagers abzurufen | Lesen | |||
| GetPaymentSession | Erteilt die Erlaubnis, Details einer Zahlungssitzung abzurufen | Lesen | |||
| GetPolicy | Erteilt die Erlaubnis zum Abrufen einer Richtlinie | Lesen | |||
| GetPolicyEngine | Erteilt die Berechtigung zum Abrufen einer Policy-Engine | Lesen | |||
| GetPolicyEngineSummary | Erteilt die Berechtigung zum Abrufen einer Zusammenfassung einer Policy-Engine | Lesen | |||
| GetPolicyGeneration | Erteilt die Berechtigung zum Abrufen des Status und der Ergebnisse einer Anfrage zur Richtliniengenerierung | Lesen | |||
| GetPolicyGenerationSummary | Erteilt die Berechtigung zum Abrufen einer Zusammenfassung einer Anfrage zur Richtliniengenerierung | Lesen | |||
| GetPolicySummary | Erteilt die Berechtigung zum Abrufen einer Zusammenfassung einer Richtlinie | Lesen | |||
| GetRecommendation | Erteilt die Erlaubnis, Details zu einer Empfehlung abzurufen | Lesen | |||
| GetRegistry | Erteilt die Erlaubnis, eine bestehende Registrierung abzurufen | Lesen | |||
| GetRegistryRecord | Erteilt die Berechtigung zum Abrufen eines vorhandenen Registrierungsdatensatzes | Lesen | |||
| GetResourceApiKey | Erteilt die Berechtigung zum Abrufen eines API-Schlüssels, der einem API-Schlüsselanmeldeanbieter zugeordnet ist | Lesen | |||
| GetResourceOauth2Token | Erteilt die Berechtigung zum Abrufen des Zugriffstokens mit dem OAuth2-, 2LO- oder 3LO-Flow für den Zugriff auf externe Ressourcen | Lesen | |||
| GetResourcePaymentToken | Erteilt die Berechtigung zum Abrufen eines Zahlungsauthentifizierungstokens, das einem Payment Credential Provider zugeordnet ist | Lesen | |||
| GetResourcePolicy | Erteilt die Berechtigung zum Abrufen der ressourcenbasierten Richtlinie für eine Bedrock-Ressource | Lesen | |||
| GetTokenVault | Erteilt die Berechtigung zum Abrufen der aktuellen Konfiguration von, einschließlich der Verschlüsselungseinstellungen TokenVault | Lesen | |||
| GetWorkloadAccessToken | Erteilt die Berechtigung zum Abrufen eines Workload-Zugriffstokens für Agenten-Workloads, die nicht im Namen eines Benutzers agieren | Schreiben | |||
| GetWorkloadAccessTokenForJWT | Erteilt die Berechtigung zum Abrufen eines Workload-Zugriffstokens für Agenten-Workloads, die im Namen eines Benutzers mit JWT-Token agieren | Schreiben | |||
|
bedrock-agentcore:InboundJwtClaim/iss bedrock-agentcore:InboundJwtClaim/sub bedrock-agentcore:InboundJwtClaim/aud |
|||||
| GetWorkloadAccessTokenForUserId | Erteilt die Berechtigung zum Abrufen eines Workload-Zugriffstokens für Agenten-Workloads, die im Namen eines Benutzers mit Benutzer-ID agieren | Schreiben | |||
| GetWorkloadIdentity | Erteilt die Berechtigung zum Abrufen von Details für eine bestimmte Workload-Identität, einschließlich ihres Namens und der zulässigen OAuth2-Rückgabe-URLs | Lesen | |||
| InvokeAgentRuntime | Erteilt die Berechtigung zum Aufrufen eines Agenten-Runtime-Endpunkts | Schreiben | |||
| InvokeAgentRuntimeCommand | Erteilt die Berechtigung zum Aufrufen von Befehlen auf einem Agenten-Runtime-Endpunkt | Schreiben | |||
| InvokeAgentRuntimeForUser | Erteilt die Berechtigung zum Aufrufen eines Agenten-Runtime-Endpunkts mit Header X-Amzn-Bedrock-AgentCore-Runtime-User-Id | Schreiben | |||
| InvokeAgentRuntimeWithWebSocketStream | Erteilt die Berechtigung zum Aufrufen eines Agenten-Runtime-Endpunkts mit Stream WebSocket | Schreiben | |||
| InvokeAgentRuntimeWithWebSocketStreamForUser | Erteilt die Berechtigung zum Aufrufen eines Agenten-Laufzeitendpunkts mit WebSocket Stream und Header X-Amzn-Bedrock-AgentCore-Runtime-User-Id | Schreiben | |||
| InvokeCodeInterpreter | Erteilt die Berechtigung zum Aufrufen einer Codeinterpreter-Sitzung | Schreiben | |||
| InvokeGateway [nur Berechtigung] | Erteilt die Erlaubnis zum Aufrufen eines Gateways | Berechtigungsverwaltung | |||
| InvokeHarness | Erteilt die Erlaubnis, einen Harness aufzurufen | Schreiben |
bedrock-agentcore:InvokeAgentRuntime |
||
| InvokeRegistryMcp | Erteilt die Erlaubnis, einen MCP-Vorgang für eine bestehende Registrierung aufzurufen | Lesen | |||
| ListABTests | Erteilt die Erlaubnis, Tests aufzulisten A/B | Auflisten | |||
| ListActors | Erteilt die Erlaubnis, Schauspieler aufzulisten | Auflisten | |||
| ListAgentRuntimeEndpoints | Erteilt die Berechtigung, Agenten-Runtime-Endpunkte aufzulisten | Auflisten | |||
| ListAgentRuntimeVersions | Erteilt die Berechtigung, Agenten-Laufzeitversionen aufzulisten | Auflisten | |||
| ListAgentRuntimes | Erteilt die Berechtigung, Agenten-Laufzeiten aufzulisten | Auflisten | |||
| ListApiKeyCredentialProviders | Erteilt die Berechtigung, alle API-Schlüsselanmeldedienstanbieter im Token-Tresor aufzulisten | Lesen | |||
| ListBatchEvaluations | Erteilt die Erlaubnis, Batch-Auswertungen aufzulisten | Auflisten | |||
| ListBrowserProfiles | Erteilt die Erlaubnis, Browserprofile aufzulisten | Auflisten | |||
| ListBrowserSessions | Erteilt die Erlaubnis, Browsersitzungen aufzulisten | Auflisten | |||
| ListBrowsers | Erteilt die Erlaubnis, Browser aufzulisten | Auflisten | |||
| ListCodeInterpreterSessions | Erteilt die Erlaubnis, Codeinterpreter-Sitzungen aufzulisten | Auflisten | |||
| ListCodeInterpreters | Erteilt die Erlaubnis, Codeinterpreter aufzulisten | Auflisten | |||
| ListConfigurationBundleVersions | Erteilt die Berechtigung, Versionen eines Konfigurationspakets aufzulisten | Auflisten | |||
| ListConfigurationBundles | Erteilt die Berechtigung, Konfigurationspakete aufzulisten | Auflisten | |||
| ListEvaluators | Erteilt die Erlaubnis, Evaluatoren aufzulisten | Auflisten | |||
| ListEvents | Erteilt die Erlaubnis, Ereignisse aufzulisten | Auflisten | |||
| ListGatewayRules | Erteilt die Berechtigung, bestehende Gateway-Regeln aufzulisten | Auflisten | |||
| ListGatewayTargets | Erteilt die Berechtigung, bestehende Gateway-Ziele aufzulisten | Auflisten | |||
| ListGateways | Erteilt die Berechtigung, vorhandene Gateways aufzulisten | Auflisten | |||
| ListHarnesses | Erteilt die Erlaubnis, Kabelbäume aufzulisten | Auflisten | |||
| ListMemories | Erteilt die Erlaubnis, Speicherressourcen aufzulisten | Auflisten | |||
| ListMemoryExtractionJobs | Erteilt die Berechtigung, Extraktionsaufträge für diesen Speicher aufzulisten | Auflisten | |||
| ListMemoryRecords | Erteilt die Berechtigung zum Auflisten von Speicherdatensätzen | Auflisten | |||
| ListOauth2CredentialProviders | Erteilt die Berechtigung, alle OAuth2-Anmeldeinformationsanbieter im Token-Tresor aufzulisten | Lesen | |||
| ListOnlineEvaluationConfigs | Erteilt die Erlaubnis, Online-Testkonfigurationen aufzulisten | Auflisten | |||
| ListPaymentConnectors | Erteilt die Erlaubnis, Zahlungskonnektoren einem Zahlungsmanager aufzulisten | Auflisten | |||
| ListPaymentCredentialProviders | Erteilt die Erlaubnis, alle Anbieter von Zahlungsinformationen im Token-Tresor aufzulisten | Auflisten | |||
| ListPaymentInstruments | Erteilt die Erlaubnis, Zahlungsinstrumente aufzulisten | Auflisten | |||
| ListPaymentManagers | Erteilt die Erlaubnis, Zahlungsmanager aufzulisten | Auflisten | |||
| ListPaymentSessions | Erteilt die Erlaubnis, Zahlungssitzungen aufzulisten | Auflisten | |||
| ListPolicies | Erteilt die Berechtigung, Richtlinien in einer Policy-Engine aufzulisten | Auflisten | |||
| ListPolicyEngineSummaries | Erteilt die Berechtigung, Zusammenfassungen der Policy-Engine aufzulisten | Auflisten | |||
| ListPolicyEngines | Erteilt die Berechtigung, Policy-Engines aufzulisten | Auflisten | |||
| ListPolicyGenerationAssets | Erteilt die Berechtigung, aus einer Generierungsanfrage generierte Richtlinieninhalte aufzulisten | Auflisten | |||
| ListPolicyGenerationSummaries | Erteilt die Erlaubnis, Zusammenfassungen der Richtliniengenerierung aufzulisten | Auflisten | |||
| ListPolicyGenerations | Erteilt die Erlaubnis, Anfragen zur Richtliniengenerierung aufzulisten | Auflisten | |||
| ListPolicySummaries | Erteilt die Berechtigung, Richtlinienzusammenfassungen in einer Policy-Engine aufzulisten | Auflisten | |||
| ListRecommendations | Erteilt die Erlaubnis, Empfehlungen aufzulisten | Auflisten | |||
| ListRegistries | Erteilt die Erlaubnis, bestehende Register aufzulisten | Auflisten | |||
| ListRegistryRecords | Erteilt die Berechtigung, bestehende Registrierungseinträge in einer Registrierung aufzulisten | Auflisten | |||
| ListSessions | Erteilt die Erlaubnis, Sitzungen aufzulisten | Auflisten | |||
| ListTagsForResource | Erteilt die Berechtigung, Tags für eine Bedrock-AgentCore Ressource aufzulisten | Auflisten | |||
| ListWorkloadIdentities | Erteilt die Berechtigung, alle Workload-Identitäten in den Identitäten des Aufrufers aufzulisten AWS-Konto | Lesen | |||
| ManageAdminPolicy [nur Berechtigung] | Erteilt die Berechtigung zum Erstellen oder Ändern von Platzhalterrichtlinien, die für Gateway-Ressourcen gelten | Berechtigungsverwaltung | |||
| ManageResourceScopedPolicy [nur Berechtigung] | Erteilt die Berechtigung zum Erstellen oder Ändern von Richtlinien, die für bestimmte Gateway-Ressourcen gelten | Berechtigungsverwaltung | |||
| PartiallyAuthorizeActions [nur Berechtigung] | Erteilt die Erlaubnis, eine teilweise Evaluierung der Cedar-Richtlinien durchzuführen, um einem Anrufer die Möglichkeit zu geben, Tools aufzulisten, die er aufrufen darf | Berechtigungsverwaltung | |||
| ProcessPayment | Erteilt die Erlaubnis zur Bearbeitung einer Zahlungstransaktion | Schreiben | |||
| PutResourcePolicy | Erteilt die Erlaubnis, die ressourcenbasierte Richtlinie für eine Bedrock-Ressource zu erstellen oder zu aktualisieren | Schreiben | |||
| RetrieveMemoryRecords | Erteilt die Berechtigung zum Abrufen von Speicherdatensätzen über eine semantische Abfrage | Auflisten | |||
| SaveBrowserSessionProfile | Erteilt die Berechtigung zum Speichern eines Browser-Sitzungsprofils | Schreiben | |||
| SearchRegistryRecords | Erteilt die Erlaubnis, nach Registrierungsdatensätzen zu suchen | Lesen | |||
| SetTokenVaultCMK | Erteilt die Berechtigung, einen vom Kunden verwalteten Schlüssel (CMK) oder einen vom Service verwalteten Schlüssel einem bestimmten Schlüssel zuzuordnen TokenVault | Schreiben | |||
| StartBatchEvaluation | Erteilt die Berechtigung, eine Batch-Auswertung zu starten | Schreiben | |||
| StartBrowserSession | Erteilt die Erlaubnis, eine neue Browsersitzung zu starten | Schreiben | |||
| StartCodeInterpreterSession | Erteilt die Erlaubnis, eine neue Codeinterpreter-Sitzung zu starten | Schreiben | |||
| StartMemoryExtractionJob | Erteilt die Berechtigung zum Starten des Speicherextraktionsauftrags | Schreiben | |||
| StartPolicyGeneration | Erteilt die Erlaubnis, eine Anfrage zur AI-powered Richtliniengenerierung zu starten | Schreiben | |||
| StartRecommendation | Erteilt die Erlaubnis, eine Empfehlung zu starten | Schreiben | |||
| StopBatchEvaluation | Erteilt die Erlaubnis, eine Batch-Auswertung zu beenden | Schreiben | |||
| StopBrowserSession | Erteilt die Erlaubnis, eine Browsersitzung zu beenden | Schreiben | |||
| StopCodeInterpreterSession | Erteilt die Berechtigung, eine Codeinterpreter-Sitzung zu beenden | Schreiben | |||
| StopRuntimeSession | Erteilt die Berechtigung zum Beenden einer Runtime-Sitzung | Schreiben | |||
| SubmitRegistryRecordForApproval | Erteilt die Berechtigung, einen Registrierungseintrag zur Genehmigung einzureichen | Schreiben | |||
| SynchronizeGatewayTargets [nur Berechtigung] | Erteilt die Erlaubnis, die Suche auf Gateways zu aktivieren | Berechtigungsverwaltung | |||
| TagResource | Erteilt die Erlaubnis, eine Ressource zu taggen Bedrock-AgentCore | Tagging | |||
| UntagResource | Erteilt die Erlaubnis, die Markierung einer Ressource aufzuheben Bedrock-AgentCore | Tagging | |||
| UpdateABTest | Erteilt die Erlaubnis, einen A/B Test zu aktualisieren | Schreiben |
iam:PassRole |
||
| UpdateAgentRuntime | Erteilt die Berechtigung zum Aktualisieren einer Agenten-Laufzeit | Schreiben |
iam:PassRole |
||
| UpdateAgentRuntimeEndpoint | Erteilt die Berechtigung zum Aktualisieren eines Agenten-Runtime-Endpunkts | Schreiben | |||
| UpdateApiKeyCredentialProvider | Erteilt die Berechtigung zum Aktualisieren eines vorhandenen API-Schlüsselanmeldeanbieters | Schreiben | |||
| UpdateBrowserStream | Erteilt die Berechtigung, den Status des Browser-Sitzungsstreams zu aktualisieren | Schreiben | |||
| UpdateConfigurationBundle | Erteilt die Berechtigung zum Aktualisieren eines Konfigurationspakets | Schreiben | |||
| UpdateEvaluator | Erteilt die Erlaubnis, einen Evaluator zu aktualisieren | Schreiben | |||
| UpdateGateway | Erteilt die Erlaubnis, ein vorhandenes Gateway zu aktualisieren | Schreiben |
iam:PassRole |
||
| UpdateGatewayRule | Erteilt die Berechtigung zum Aktualisieren einer vorhandenen Gatewayregel | Schreiben | |||
| UpdateGatewayTarget | Erteilt die Berechtigung zum Aktualisieren eines vorhandenen Gateway-Ziels | Schreiben | |||
| UpdateHarness | Erteilt die Berechtigung zum Aktualisieren eines Kabelbaums | Schreiben |
bedrock-agentcore:GetAgentRuntime bedrock-agentcore:UpdateAgentRuntime iam:PassRole |
||
| UpdateMemory | Erteilt die Berechtigung zum Aktualisieren einer Speicherressource | Schreiben |
iam:PassRole |
||
| UpdateOauth2CredentialProvider | Erteilt die Berechtigung zum Aktualisieren eines vorhandenen OAuth2-Anmeldeinformationsanbieters | Schreiben | |||
| UpdateOnlineEvaluationConfig | Erteilt die Erlaubnis, eine Online-Testkonfiguration zu aktualisieren | Schreiben |
iam:PassRole |
||
| UpdatePaymentConnector | Erteilt die Erlaubnis, einen vorhandenen Zahlungskonnektor zu aktualisieren | Schreiben | |||
| UpdatePaymentCredentialProvider | Erteilt die Erlaubnis, einen vorhandenen Anbieter für Zahlungsinformationen zu aktualisieren | Schreiben | |||
| UpdatePaymentManager | Erteilt die Erlaubnis, einen vorhandenen Zahlungsmanager zu aktualisieren | Schreiben |
iam:PassRole |
||
| UpdatePolicy | Erteilt die Erlaubnis, eine bestehende Richtlinie zu aktualisieren | Schreiben | |||
| UpdatePolicyEngine | Erteilt die Berechtigung zum Aktualisieren einer Policy-Engine | Schreiben | |||
| UpdateRegistry | Erteilt die Erlaubnis, eine bestehende Registrierung zu aktualisieren | Schreiben | |||
| UpdateRegistryRecord | Erteilt die Erlaubnis, einen vorhandenen Registrierungseintrag zu aktualisieren | Schreiben | |||
| UpdateRegistryRecordStatus | Erteilt die Berechtigung, den Status eines Registrierungseintrags zu aktualisieren | Schreiben | |||
| UpdateWorkloadIdentity | Erteilt die Berechtigung, die Metadaten einer vorhandenen Workload-Identität zu aktualisieren | Schreiben | |||
Von Amazon Bedrock Agentcore definierte Ressourcentypen
Die folgenden Ressourcentypen werden von diesem Service definiert und können im Element Resource von IAM-Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle „Aktionen“ identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.
| Ressourcentypen | ARN | Bedingungsschlüssel |
|---|---|---|
| evaluator |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:evaluator/${EvaluatorId}
|
|
| online-evaluation-config |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:online-evaluation-config/${OnlineEvaluationConfigId}
|
|
| memory |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:memory/${MemoryId}
|
|
| gateway |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:gateway/${GatewayId}
|
|
| workload-identity |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}/workload-identity/${WorkloadIdentityName}
|
|
| oauth2credentialprovider |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/oauth2credentialprovider/${Name}
|
|
| apikeycredentialprovider |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/apikeycredentialprovider/${Name}
|
|
| runtime |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}
|
|
| runtime-endpoint |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}/runtime-endpoint/${Name}
|
|
| code-interpreter-custom |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:code-interpreter-custom/${CodeInterpreterId}
|
|
| code-interpreter |
arn:${Partition}:bedrock-agentcore:${Region}:aws:code-interpreter/${CodeInterpreterId}
|
|
| browser-custom |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:browser-custom/${BrowserId}
|
|
| browser |
arn:${Partition}:bedrock-agentcore:${Region}:aws:browser/${BrowserId}
|
|
| browser-profile |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:browser-profile/${BrowserProfileId}
|
|
| workload-identity-directory |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}
|
|
| token-vault |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}
|
|
| policy-engine |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:policy-engine/${PolicyEngineId}
|
|
| policy |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:policy-engine/${PolicyEngineId}/policy/${PolicyId}
|
|
| policy-generation |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:policy-engine/${PolicyEngineId}/policy-generation/${PolicyGenerationId}
|
|
| registry |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:registry/${RegistryId}
|
|
| registry-record |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:registry/${RegistryId}/record/${RecordId}
|
|
| harness |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:harness/${HarnessId}
|
|
| batch-evaluate |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:batch-evaluate/${BatchEvaluationId}
|
|
| ab-test |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:ab-test/${ABTestId}
|
|
| recommendation |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:recommendation/${RecommendationId}
|
|
| configuration-bundle |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:configuration-bundle/${ConfigurationBundleId}
|
|
| payment-manager |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:payment-manager/${PaymentManagerId}
|
|
| paymentcredentialprovider |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/paymentcredentialprovider/${Name}
|
Zustandstasten für Amazon Bedrock Agentcore
Amazon Bedrock Agentcore definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM-Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).
Die globalen Bedingungsschlüssel, die für alle Dienste verfügbar sind, finden Sie unter AWS Globale Bedingungskontextschlüssel.
| Bedingungsschlüssel | Beschreibung | Typ |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtert den Zugriff durch die Erstellung von Anforderungen basierend auf dem zulässigen Satz von Werten für jedes der obligatorischen Tags | Zeichenfolge |
| aws:ResourceTag/${TagKey} | Filtert den Zugriff durch Aktionen basierend auf dem Tag-Wert, der der Ressource zugeordnet ist | Zeichenfolge |
| aws:TagKeys | Filtert den Zugriff durch das Erstellen von Anfragen basierend auf dem Vorhandensein von obligatorischen Tags in der Anfrage | ArrayOfString |
| bedrock-agentcore:GatewayAuthorizerType | Filtert den Zugriff nach dem AuthorizerType-Attribut auf einem Gateway | Zeichenfolge |
| bedrock-agentcore:InboundJwtClaim/aud | Filtert den Zugriff nach dem Zielgruppenanspruch (aud) im JWT, das in der Anfrage übergeben wurde | ArrayOfString |
| bedrock-agentcore:InboundJwtClaim/client_id | Filtert den Zugriff nach dem client_id-Claim im JWT, das in der Anfrage übergeben wurde | Zeichenfolge |
| bedrock-agentcore:InboundJwtClaim/iss | Filtert den Zugriff nach dem Anspruch des Ausstellers (iss), der in dem JWT enthalten ist, das der Anfrage übergeben wurde | Zeichenfolge |
| bedrock-agentcore:InboundJwtClaim/scope | Filtert den Zugriff nach dem Geltungsbereich, der im JWT enthalten ist, der in der Anfrage übergeben wurde | ArrayOfString |
| bedrock-agentcore:InboundJwtClaim/sub | Filtert den Zugriff nach dem Betreff Claim (Sub) im JWT, das der Anfrage übergeben wurde | Zeichenfolge |
| bedrock-agentcore:KmsKeyArn | Filtert den Zugriff nach dem angegebenen KMS-Schlüssel arn | Zeichenfolge |
| bedrock-agentcore:RuntimeAuthorizerType | Filtert den Zugriff nach dem für die Laufzeit konfigurierten Autorisierungstyp AgentCore | Zeichenfolge |
| bedrock-agentcore:actorId | Filtert den Zugriff nach der Actor-ID | Zeichenfolge |
| bedrock-agentcore:namespace | Filtert den Zugriff nach Namespace | Zeichenfolge |
| bedrock-agentcore:securityGroups | Filtert den Zugriff nach der ID der für die Laufzeit konfigurierten Sicherheitsgruppen AgentCore | ArrayOfString |
| bedrock-agentcore:sessionId | Filtert den Zugriff nach der Sitzungs-ID | Zeichenfolge |
| bedrock-agentcore:strategyId | Filtert den Zugriff nach der Speicherstrategie-ID | Zeichenfolge |
| bedrock-agentcore:subnets | Filtert den Zugriff anhand der ID der für die Laufzeit konfigurierten Subnetze AgentCore | ArrayOfString |
| bedrock-agentcore:userid | Filtert den Zugriff anhand des statischen Benutzer-ID-Werts, der in der Anfrage übergeben wurde | Zeichenfolge |
