Administra los espacios de trabajo Límites de permisos

Ejemplos de políticas basadas en identidad para Amazon Bedrock Studio

Los siguientes son ejemplos de políticas para Amazon Bedrock Studio.

Temas

Administre los espacios de trabajo
Límites de permisos

Administre los espacios de trabajo

Para crear y gestionar los espacios de trabajo de Amazon Bedrock Studio y gestionar los miembros del espacio de trabajo, necesita los siguientes IAM permisos.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datazone:CreateDomain",
        "datazone:ListDomains",
        "datazone:GetDomain",
        "datazone:UpdateDomain",
        "datazone:ListProjects",
        "datazone:ListTagsForResource",
        "datazone:UntagResource",
        "datazone:TagResource",
        "datazone:SearchUserProfiles",
        "datazone:SearchGroupProfiles",
        "datazone:UpdateGroupProfile",
        "datazone:UpdateUserProfile",
        "datazone:CreateUserProfile",
        "datazone:CreateGroupProfile",
        "datazone:PutEnvironmentBlueprintConfiguration",
        "datazone:ListEnvironmentBlueprints",
        "datazone:ListEnvironmentBlueprintConfigurations",
        "datazone:DeleteDomain"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:passedToService": "datazone.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:DescribeKey",
        "kms:Decrypt",
        "kms:CreateGrant",
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:ReEncrypt*",
        "kms:RetireGrant"
      ],
      "Resource": "kms key for domain"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListKeys",
        "kms:ListAliases"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListRoles",
        "iam:GetPolicy",
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicyVersion"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "sso:DescribeRegisteredRegions",
        "sso:ListProfiles",
        "sso:AssociateProfile",
        "sso:DisassociateProfile",
        "sso:GetProfile",
        "sso:ListInstances",
        "sso:CreateApplication",
        "sso:DeleteApplication",
        "sso:PutApplicationAssignmentConfiguration",
        "sso:PutApplicationGrant",
        "sso:PutApplicationAuthenticationMethod"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "bedrock:ListFoundationModels",
        "bedrock:ListProvisionedModelThroughputs",
        "bedrock:ListModelCustomizationJobs",
        "bedrock:ListCustomModels",
        "bedrock:ListTagsForResource",
        "bedrock:ListGuardrails",
        "bedrock:ListAgents",
        "bedrock:ListKnowledgeBases",
        "bedrock:GetFoundationModelAvailability"
      ],
      "Resource": "*"
    }
  ]
}

Límites de permisos

Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a un IAM principal. No debe usar ni adjuntar las políticas de límites de permisos de Amazon Bedrock Studio por su cuenta. Las políticas de límites de permisos de Amazon Bedrock Studio solo deben adjuntarse a las funciones gestionadas por Amazon Bedrock Studio. Para obtener más información sobre los límites de los permisos, consulte los límites de los permisos para IAM las entidades en la Guía del IAM usuario.

Al crear proyectos, aplicaciones y componentes de Amazon Bedrock Studio, Amazon Bedrock Studio aplica este límite de permisos a las IAM funciones generadas al crear esos recursos.

Amazon Bedrock Studio usa la política AmazonDataZoneBedrockPermissionsBoundary administrada para limitar los permisos del IAM principal aprovisionado al que está asociado. Los directores pueden adoptar la forma de las funciones de usuario que Amazon DataZone puede asumir en nombre de los usuarios de Amazon Bedrock Studio y, posteriormente, realizar acciones como leer y escribir objetos de Amazon S3 o invocar a los agentes de Amazon Bedrock.

La AmazonDataZoneBedrockPermissionsBoundary política otorga acceso de lectura y escritura para Amazon Bedrock Studio a servicios como Amazon S3, Amazon Bedrock, Amazon OpenSearch Serverless y AWS Lambda. La política también otorga permisos de lectura y escritura a algunos recursos de infraestructura necesarios para usar estos servicios, como AWS Secrets Manager secrets, Amazon CloudWatch log groups y AWS KMS claves.

Esta política consta de los siguientes conjuntos de permisos.

s3— Permite el acceso de lectura y escritura a los objetos de los buckets de Amazon S3 gestionados por Amazon Bedrock Studio.
bedrock— Otorga la posibilidad de utilizar los agentes, bases de conocimiento y barreras de Amazon Bedrock gestionados por Amazon Bedrock Studio.
aoss— Permite el API acceso a las colecciones de Amazon OpenSearch Serverless gestionadas por Amazon Bedrock Studio.
lambda— Otorga la capacidad de invocar funciones AWS Lambda administradas por Amazon Bedrock Studio.
secretsmanager— Permite el acceso de lectura y escritura a AWS los secretos de Secrets Manager gestionados por Amazon Bedrock Studio.
logs— Proporciona acceso de escritura a Amazon CloudWatch Logs gestionados por Amazon Bedrock Studio.
kms— Otorga acceso al uso de AWS KMS claves para cifrar los datos de Amazon Bedrock Studio.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessS3Buckets",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:ListBucketVersions",
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:GetObjectVersion",
        "s3:DeleteObjectVersion"
      ],
      "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "AccessOpenSearchCollections",
      "Effect": "Allow",
      "Action": "aoss:APIAccessAll",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "InvokeBedrockModels",
      "Effect": "Allow",
      "Action": [
        "bedrock:InvokeModel",
        "bedrock:InvokeModelWithResponseStream"
      ],
      "Resource": "arn:aws:bedrock:*::foundation-model/*"
    },
    {
      "Sid": "AccessBedrockResources",
      "Effect": "Allow",
      "Action": [
        "bedrock:InvokeAgent",
        "bedrock:Retrieve",
        "bedrock:StartIngestionJob",
        "bedrock:GetIngestionJob",
        "bedrock:ListIngestionJobs",
        "bedrock:ApplyGuardrail",
        "bedrock:ListPrompts",
        "bedrock:GetPrompt",
        "bedrock:CreatePrompt",
        "bedrock:DeletePrompt",
        "bedrock:CreatePromptVersion",
        "bedrock:InvokeFlow",
        "bedrock:ListTagsForResource",
        "bedrock:TagResource",
        "bedrock:UntagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/AmazonBedrockManaged": "true"
        },
        "Null": {
          "aws:ResourceTag/AmazonDataZoneProject": "false"
        }
      }
    },
    {
      "Sid": "RetrieveAndGenerate",
      "Effect": "Allow",
      "Action": "bedrock:RetrieveAndGenerate",
      "Resource": "*"
    },
    {
      "Sid": "WriteLogs",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/AmazonBedrockManaged": "true"
        },
        "Null": {
          "aws:ResourceTag/AmazonDataZoneProject": "false"
        }
      }
    },
    {
      "Sid": "InvokeLambdaFunctions",
      "Effect": "Allow",
      "Action": "lambda:InvokeFunction",
      "Resource": "arn:aws:lambda:*:*:function:br-studio-*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/AmazonBedrockManaged": "true"
        },
        "Null": {
          "aws:ResourceTag/AmazonDataZoneProject": "false"
        }
      }
    },
    {
      "Sid": "AccessSecretsManagerSecrets",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue"
      ],
      "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/AmazonBedrockManaged": "true"
        },
        "Null": {
          "aws:ResourceTag/AmazonDataZoneProject": "false"
        }
      }
    },
    {
      "Sid": "UseKmsKeyWithBedrock",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/EnableBedrock": "true"
        },
        "Null": {
          "kms:EncryptionContext:aws:bedrock:arn": "false"
        }
      }
    },
    {
      "Sid": "UseKmsKeyWithAwsServices",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/EnableBedrock": "true"
        },
        "StringLike": {
          "kms:ViaService": [
            "s3.*.amazonaws.com",
            "secretsmanager.*.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "GetDataZoneEnvCfnStacks",
      "Effect": "Allow",
      "Action": [
        "cloudformation:GetTemplate",
        "cloudformation:DescribeStacks"
      ],
      "Resource": "arn:aws:cloudformation:*:*:stack/DataZone-Env-*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        },
        "Null": {
          "aws:ResourceTag/AmazonDataZoneProject": "false"
        }
      }
    }
  ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos de Amazon Bedrock Agents

AWS políticas administradas