Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Ejemplos de políticas basadas en identidades para Amazon Bedrock Studio

RSS
Modo de enfoque
Ejemplos de políticas basadas en identidades para Amazon Bedrock Studio - Amazon Bedrock
Administración de espacios de trabajoLímites de permisos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

A continuación, se muestran ejemplos de políticas para Amazon Bedrock Studio.

Administración de espacios de trabajo

Para crear y administrar los espacios de trabajo de Amazon Bedrock Studio y administrar los miembros del espacio de trabajo, necesita los siguientes permisos de IAM.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datazone:CreateDomain",
        "datazone:ListDomains",
        "datazone:GetDomain",
        "datazone:UpdateDomain",
        "datazone:ListProjects",
        "datazone:ListTagsForResource",
        "datazone:UntagResource",
        "datazone:TagResource",
        "datazone:SearchUserProfiles",
        "datazone:SearchGroupProfiles",
        "datazone:UpdateGroupProfile",
        "datazone:UpdateUserProfile",
        "datazone:CreateUserProfile",
        "datazone:CreateGroupProfile",
        "datazone:PutEnvironmentBlueprintConfiguration",
        "datazone:ListEnvironmentBlueprints",
        "datazone:ListEnvironmentBlueprintConfigurations",
        "datazone:DeleteDomain"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:passedToService": "datazone.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:DescribeKey",
        "kms:Decrypt",
        "kms:CreateGrant",
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:ReEncrypt*",
        "kms:RetireGrant"
      ],
      "Resource": "kms key for domain"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListKeys",
        "kms:ListAliases"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListRoles",
        "iam:GetPolicy",
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicyVersion"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "sso:DescribeRegisteredRegions",
        "sso:ListProfiles",
        "sso:AssociateProfile",
        "sso:DisassociateProfile",
        "sso:GetProfile",
        "sso:ListInstances",
        "sso:CreateApplication",
        "sso:DeleteApplication",
        "sso:PutApplicationAssignmentConfiguration",
        "sso:PutApplicationGrant",
        "sso:PutApplicationAuthenticationMethod"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "bedrock:ListFoundationModels",
        "bedrock:ListProvisionedModelThroughputs",
        "bedrock:ListModelCustomizationJobs",
        "bedrock:ListCustomModels",
        "bedrock:ListTagsForResource",
        "bedrock:ListGuardrails",
        "bedrock:ListAgents",
        "bedrock:ListKnowledgeBases",
        "bedrock:GetFoundationModelAvailability"
      ],
      "Resource": "*"
    }
  ]
}

Límites de permisos

Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en identidades puede conceder a una entidad principal de IAM. No debe utilizar ni asociar las políticas de límite de permisos de Amazon Bedrock Studio por su cuenta. Las políticas de límite de permisos de Amazon Bedrock Studio solo deben asociarse a los roles administrados por Amazon Bedrock Studio. Para obtener más información sobre límites de permisos, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.

Al crear proyectos, aplicaciones y componentes de Amazon Bedrock Studio, Amazon Bedrock Studio aplica este límite de permisos a los roles de IAM generados al crear esos recursos.

Amazon Bedrock Studio usa la política administrada de AmazonDataZoneBedrockPermissionsBoundary para limitar los permisos de la entidad principal de IAM aprovisionada a la que está asociada. Los directores pueden adoptar la forma de las funciones de usuario que Amazon DataZone puede asumir en nombre de los usuarios de Amazon Bedrock Studio y, posteriormente, realizar acciones como leer y escribir objetos de Amazon S3 o invocar a los agentes de Amazon Bedrock.

La AmazonDataZoneBedrockPermissionsBoundary política otorga acceso de lectura y escritura para Amazon Bedrock Studio a servicios como Amazon S3, Amazon Bedrock, Amazon OpenSearch Serverless y. AWS Lambda La política también otorga permisos de lectura y escritura a algunos recursos de infraestructura necesarios para usar estos servicios, como los secretos de AWS Secrets Manager, los grupos de CloudWatch registro de Amazon y AWS KMS las claves.

Esta política consta de los siguientes conjuntos de permisos.

  • s3: permite el acceso de lectura y escritura a objetos en buckets de Amazon S3 administrados por Amazon Bedrock Studio.

  • bedrock: otorga la posibilidad de utilizar los agentes, bases de conocimiento y barreras de protección de Amazon Bedrock administrados por Amazon Bedrock Studio.

  • aoss— Permite el acceso mediante API a las colecciones de Amazon OpenSearch Serverless gestionadas por Amazon Bedrock Studio.

  • lambda: otorga la capacidad de invocar funciones de AWS Lambda administradas por Amazon Bedrock Studio.

  • secretsmanager: permite el acceso de lectura y escritura a los secretos de AWS Secrets Manager administrados por Amazon Bedrock Studio.

  • logs— Proporciona acceso de escritura a Amazon CloudWatch Logs gestionados por Amazon Bedrock Studio.

  • kms: otorga acceso al uso de claves de AWS KMS para cifrar los datos de Amazon Bedrock Studio.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessS3Buckets",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:ListBucketVersions",
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:GetObjectVersion",
        "s3:DeleteObjectVersion"
      ],
      "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "AccessOpenSearchCollections",
      "Effect": "Allow",
      "Action": "aoss:APIAccessAll",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "InvokeBedrockModels",
      "Effect": "Allow",
      "Action": [
        "bedrock:InvokeModel",
        "bedrock:InvokeModelWithResponseStream"
      ],
      "Resource": "arn:aws:bedrock:*::foundation-model/*"
    },
    {
      "Sid": "AccessBedrockResources",
      "Effect": "Allow",
      "Action": [
        "bedrock:InvokeAgent",
        "bedrock:Retrieve",
        "bedrock:StartIngestionJob",
        "bedrock:GetIngestionJob",
        "bedrock:ListIngestionJobs",
        "bedrock:ApplyGuardrail",
        "bedrock:ListPrompts",
        "bedrock:GetPrompt",
        "bedrock:CreatePrompt",
        "bedrock:DeletePrompt",
        "bedrock:CreatePromptVersion",
        "bedrock:InvokeFlow",
        "bedrock:ListTagsForResource",
        "bedrock:TagResource",
        "bedrock:UntagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/AmazonBedrockManaged": "true"
        },
        "Null": {
          "aws:ResourceTag/AmazonDataZoneProject": "false"
        }
      }
    },
    {
      "Sid": "RetrieveAndGenerate",
      "Effect": "Allow",
      "Action": "bedrock:RetrieveAndGenerate",
      "Resource": "*"
    },
    {
      "Sid": "WriteLogs",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/AmazonBedrockManaged": "true"
        },
        "Null": {
          "aws:ResourceTag/AmazonDataZoneProject": "false"
        }
      }
    },
    {
      "Sid": "InvokeLambdaFunctions",
      "Effect": "Allow",
      "Action": "lambda:InvokeFunction",
      "Resource": "arn:aws:lambda:*:*:function:br-studio-*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/AmazonBedrockManaged": "true"
        },
        "Null": {
          "aws:ResourceTag/AmazonDataZoneProject": "false"
        }
      }
    },
    {
      "Sid": "AccessSecretsManagerSecrets",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue"
      ],
      "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/AmazonBedrockManaged": "true"
        },
        "Null": {
          "aws:ResourceTag/AmazonDataZoneProject": "false"
        }
      }
    },
    {
      "Sid": "UseKmsKeyWithBedrock",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/EnableBedrock": "true"
        },
        "Null": {
          "kms:EncryptionContext:aws:bedrock:arn": "false"
        }
      }
    },
    {
      "Sid": "UseKmsKeyWithAwsServices",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/EnableBedrock": "true"
        },
        "StringLike": {
          "kms:ViaService": [
            "s3.*.amazonaws.com",
            "secretsmanager.*.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "GetDataZoneEnvCfnStacks",
      "Effect": "Allow",
      "Action": [
        "cloudformation:GetTemplate",
        "cloudformation:DescribeStacks"
      ],
      "Resource": "arn:aws:cloudformation:*:*:stack/DataZone-Env-*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        },
        "Null": {
          "aws:ResourceTag/AmazonDataZoneProject": "false"
        }
      }
    }
  ]
}

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.