Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vous trouverez ci-dessous des exemples de politiques pour Amazon Bedrock Studio.
Gérez les espaces de travail
Pour créer et gérer les espaces de travail Amazon Bedrock Studio et gérer les membres des espaces de travail, vous devez disposer des autorisations IAM suivantes.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datazone:CreateDomain",
"datazone:ListDomains",
"datazone:GetDomain",
"datazone:UpdateDomain",
"datazone:ListProjects",
"datazone:ListTagsForResource",
"datazone:UntagResource",
"datazone:TagResource",
"datazone:SearchUserProfiles",
"datazone:SearchGroupProfiles",
"datazone:UpdateGroupProfile",
"datazone:UpdateUserProfile",
"datazone:CreateUserProfile",
"datazone:CreateGroupProfile",
"datazone:PutEnvironmentBlueprintConfiguration",
"datazone:ListEnvironmentBlueprints",
"datazone:ListEnvironmentBlueprintConfigurations",
"datazone:DeleteDomain"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:passedToService": "datazone.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:Decrypt",
"kms:CreateGrant",
"kms:Encrypt",
"kms:GenerateDataKey",
"kms:ReEncrypt*",
"kms:RetireGrant"
],
"Resource": "kms key for domain"
},
{
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:GetPolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicyVersion"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso:DisassociateProfile",
"sso:GetProfile",
"sso:ListInstances",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationGrant",
"sso:PutApplicationAuthenticationMethod"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"bedrock:ListFoundationModels",
"bedrock:ListProvisionedModelThroughputs",
"bedrock:ListModelCustomizationJobs",
"bedrock:ListCustomModels",
"bedrock:ListTagsForResource",
"bedrock:ListGuardrails",
"bedrock:ListAgents",
"bedrock:ListKnowledgeBases",
"bedrock:GetFoundationModelAvailability"
],
"Resource": "*"
}
]
}
Limites d'autorisation
Cette politique est une limite des autorisations. Une limite d'autorisations définit le maximum d'autorisations qu'une politique basée sur l'identité peut accorder à un principal IAM. Vous ne devez pas utiliser et joindre vous-même les politiques de limites d'autorisation d'Amazon Bedrock Studio. Les politiques relatives aux limites des autorisations d'Amazon Bedrock Studio ne doivent être associées qu'aux rôles gérés par Amazon Bedrock Studio. Pour plus d'informations sur les limites d'autorisations, consultez la section Limites d'autorisations pour les entités IAM dans le guide de l'utilisateur IAM.
Lorsque vous créez des projets, des applications et des composants Amazon Bedrock Studio, Amazon Bedrock Studio applique cette limite d'autorisations aux rôles IAM produits lors de la création de ces ressources.
Amazon Bedrock Studio utilise la politique AmazonDataZoneBedrockPermissionsBoundary gérée pour limiter les autorisations du principal IAM provisionné auquel il est rattaché. Les principaux peuvent prendre la forme de rôles d'utilisateur qu'Amazon DataZone peut assumer au nom des utilisateurs d'Amazon Bedrock Studio, puis effectuer des actions telles que lire et écrire des objets Amazon S3 ou invoquer des agents Amazon Bedrock.
La AmazonDataZoneBedrockPermissionsBoundary politique accorde à Amazon Bedrock Studio un accès en lecture et en écriture à des services tels qu'Amazon S3, Amazon Bedrock, Amazon OpenSearch Serverless et. AWS Lambda La politique accorde également des autorisations de lecture et d'écriture à certaines ressources d'infrastructure requises pour utiliser ces services, telles que les secrets d'AWS Secrets Manager, les groupes de CloudWatch journaux Amazon et AWS KMS
les clés.
Cette politique comprend les ensembles d'autorisations suivants.
s3— Permet d'accéder en lecture et en écriture aux objets des compartiments Amazon S3 gérés par Amazon Bedrock Studio.bedrock— Permet d'utiliser les agents, les bases de connaissances et les garde-corps Amazon Bedrock gérés par Amazon Bedrock Studio.aoss— Permet l'accès par API aux collections Amazon OpenSearch Serverless gérées par Amazon Bedrock Studio.lambda— Permet d'invoquer des fonctions AWS Lambda gérées par Amazon Bedrock Studio.secretsmanager— Permet un accès en lecture et en écriture aux secrets d'AWS Secrets Manager gérés par Amazon Bedrock Studio.logs— Fournit un accès en écriture aux Amazon CloudWatch Logs gérés par Amazon Bedrock Studio.kms— Permet d'utiliser les clés AWS KMS pour chiffrer les données Amazon Bedrock Studio.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AccessS3Buckets",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListBucketVersions",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion"
],
"Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AccessOpenSearchCollections",
"Effect": "Allow",
"Action": "aoss:APIAccessAll",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "InvokeBedrockModels",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": "arn:aws:bedrock:*::foundation-model/*"
},
{
"Sid": "AccessBedrockResources",
"Effect": "Allow",
"Action": [
"bedrock:InvokeAgent",
"bedrock:Retrieve",
"bedrock:StartIngestionJob",
"bedrock:GetIngestionJob",
"bedrock:ListIngestionJobs",
"bedrock:ApplyGuardrail",
"bedrock:ListPrompts",
"bedrock:GetPrompt",
"bedrock:CreatePrompt",
"bedrock:DeletePrompt",
"bedrock:CreatePromptVersion",
"bedrock:InvokeFlow",
"bedrock:ListTagsForResource",
"bedrock:TagResource",
"bedrock:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"aws:ResourceTag/AmazonBedrockManaged": "true"
},
"Null": {
"aws:ResourceTag/AmazonDataZoneProject": "false"
}
}
},
{
"Sid": "RetrieveAndGenerate",
"Effect": "Allow",
"Action": "bedrock:RetrieveAndGenerate",
"Resource": "*"
},
{
"Sid": "WriteLogs",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"aws:ResourceTag/AmazonBedrockManaged": "true"
},
"Null": {
"aws:ResourceTag/AmazonDataZoneProject": "false"
}
}
},
{
"Sid": "InvokeLambdaFunctions",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:*:*:function:br-studio-*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"aws:ResourceTag/AmazonBedrockManaged": "true"
},
"Null": {
"aws:ResourceTag/AmazonDataZoneProject": "false"
}
}
},
{
"Sid": "AccessSecretsManagerSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"aws:ResourceTag/AmazonBedrockManaged": "true"
},
"Null": {
"aws:ResourceTag/AmazonDataZoneProject": "false"
}
}
},
{
"Sid": "UseKmsKeyWithBedrock",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"aws:ResourceTag/EnableBedrock": "true"
},
"Null": {
"kms:EncryptionContext:aws:bedrock:arn": "false"
}
}
},
{
"Sid": "UseKmsKeyWithAwsServices",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"aws:ResourceTag/EnableBedrock": "true"
},
"StringLike": {
"kms:ViaService": [
"s3.*.amazonaws.com",
"secretsmanager.*.amazonaws.com"
]
}
}
},
{
"Sid": "GetDataZoneEnvCfnStacks",
"Effect": "Allow",
"Action": [
"cloudformation:GetTemplate",
"cloudformation:DescribeStacks"
],
"Resource": "arn:aws:cloudformation:*:*:stack/DataZone-Env-*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"Null": {
"aws:ResourceTag/AmazonDataZoneProject": "false"
}
}
}
]
}
