Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour Claude Platform sur AWS
Claude Platform on AWS (préfixe de service :aws-external-anthropic) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par Claude Platform sur AWS
Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Niveau d'accès du tableau Actions décrit la manière dont l'action est classée (liste, lecture, gestion des autorisations ou balisage). Cette classification peut vous aider à comprendre le niveau d'accès accordé par une action utilisée dans une politique. Pour plus d'informations sur les niveaux d'accès, consultez la section Niveaux d'accès dans les résumés des politiques.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
La colonne Actions dépendantes du tableau Actions indique les autorisations supplémentaires qui peuvent être nécessaires pour lancer une action avec succès. Ces autorisations peuvent être nécessaires en plus de l'autorisation pour l'action elle-même. Lorsqu'une action spécifie des actions dépendantes, ces dépendances peuvent s'appliquer à des ressources supplémentaires définies pour cette action, et pas uniquement à la première ressource répertoriée dans le tableau.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| ArchiveAgent | Accorde l'autorisation d'archiver un agent géré | Écrire | |||
| ArchiveEnvironment | Accorde l'autorisation d'archiver un environnement d'agents gérés | Écrire | |||
| ArchiveMemoryStore | Autorise l'archivage d'une mémoire | Écrire | |||
| ArchiveSession | Accorde l'autorisation d'archiver une session d'agent géré | Écrire | |||
| ArchiveVault | Autorise l'archivage d'un coffre d'informations d'identification | Écrire | |||
| ArchiveWorkspace | Autorise l'archivage d'un espace de travail | Écrire | |||
| AssumeConsole | Accorde l'autorisation d'accéder à la console sur la plateforme Claude | Écrire | |||
| CallWithBearerToken [autorisation uniquement] | Accorde l'autorisation d'effectuer des appels d'API à l'aide de l'authentification par jeton porteur | List | |||
| CancelBatchInference | Autorise l'annulation d'une demande d'inférence par lots en cours | Écrire | |||
| CountTokens | Accorde l'autorisation de compter les jetons pour une demande de message | Écrire | |||
| CreateAgent | Accorde l'autorisation de créer un agent géré dans un espace de travail | Écrire | |||
| CreateBatchInference | Accorde l'autorisation de créer une demande d'inférence par lots | Écrire | |||
| CreateEnvironment | Accorde l'autorisation de créer un environnement d'agent géré dans un espace de travail | Écrire | |||
| CreateFile | Accorde l'autorisation de télécharger un fichier dans un espace de travail | Écrire | |||
| CreateInference | Accorde l'autorisation de créer une demande d'inférence de fin de chat | Écrire | |||
| CreateMemoryStore | Accorde l'autorisation de créer une mémoire d'agent gérée dans un espace de travail | Écrire | |||
| CreateSession | Accorde l'autorisation de créer une session d'agent géré dans un espace de travail | Écrire | |||
| CreateSkill | Accorde l'autorisation de créer une compétence dans un espace de travail | Écrire | |||
| CreateUserProfile | Accorde l'autorisation de créer un profil utilisateur dans un espace de travail | Écrire | |||
| CreateUserProfileEnrollmentUrl | Accorde l'autorisation de créer une URL d'inscription pour un profil utilisateur | Écrire | |||
| CreateVault | Accorde l'autorisation de créer un coffre d'informations d'identification d'agent géré dans un espace de travail | Écrire | |||
| CreateWorkspace | Accorde l'autorisation de créer un espace de travail dans une organisation | Écrire | |||
| DeleteBatchInference | Accorde l'autorisation de supprimer une demande d'inférence par lots | Écrire | |||
| DeleteEnvironment | Accorde l'autorisation de supprimer un environnement d'agent géré | Écrire | |||
| DeleteFile | Accorde l'autorisation de supprimer un fichier d'un espace de travail | Écrire | |||
| DeleteMemoryStore | Autorise la suppression d'une mémoire | Écrire | |||
| DeleteSession | Accorde l'autorisation de supprimer une session d'agent géré | Écrire | |||
| DeleteSkill | Accorde l'autorisation de supprimer une compétence d'un espace de travail | Écrire | |||
| DeleteVault | Autorise la suppression d'un coffre d'informations d'identification | Écrire | |||
| GetAccountStatus | Accorde l'autorisation de récupérer l'état de la configuration et de l' AWS Marketplace enregistrement du compte | Lecture | |||
| GetAgent | Accorde l'autorisation de récupérer les détails ou les versions d'un agent géré | Lecture | |||
| GetBatchInference | Accorde l'autorisation de récupérer les détails d'une demande d'inférence par lots | Lecture | |||
| GetEnvironment | Accorde l'autorisation de récupérer les détails d'un environnement d'agent géré | Lecture | |||
| GetFile | Accorde l'autorisation de récupérer un fichier ou son contenu depuis un espace de travail | Lecture | |||
| GetMemoryStore | Accorde l'autorisation de récupérer les détails d'une mémoire, de ses mémoires ou de ses versions de mémoire | Lecture | |||
| GetModel | Accorde l'autorisation de récupérer des informations sur un modèle spécifique | Lecture | |||
| GetSession | Accorde l'autorisation de récupérer les détails, les événements ou les ressources d'une session d'agent gérée | Lecture | |||
| GetSkill | Accorde l'autorisation de récupérer les détails d'une compétence ou de ses versions | Lecture | |||
| GetUserProfile | Accorde l'autorisation de récupérer les détails d'un profil utilisateur | Lecture | |||
| GetVault | Accorde l'autorisation de récupérer les détails d'un coffre d'informations d'identification ou de ses informations d'identification | Lecture | |||
| GetWorkspace | Accorde l'autorisation de récupérer les détails d'un espace de travail | Lecture | |||
| ListAgents | Accorde l'autorisation de répertorier les agents gérés dans un espace de travail | List | |||
| ListBatchInferences | Accorde l'autorisation de répertorier les demandes d'inférence par lots dans un espace de travail | List | |||
| ListEnvironments | Accorde l'autorisation de répertorier les environnements d'agents gérés dans un espace de travail | List | |||
| ListFiles | Accorde l'autorisation de répertorier des fichiers dans un espace de travail | List | |||
| ListMemoryStores | Accorde l'autorisation de répertorier les mémoires des agents gérés dans un espace de travail | List | |||
| ListModels | Accorde l'autorisation de répertorier les modèles disponibles dans un espace de travail | List | |||
| ListSessions | Accorde l'autorisation de répertorier les sessions d'agent gérées dans un espace de travail | List | |||
| ListSkills | Accorde l'autorisation de répertorier les compétences dans un espace de travail | List | |||
| ListTagsForResource | Accorde l'autorisation de répertorier les identifications d'une ressource. | Lecture | |||
| ListUserProfiles | Accorde l'autorisation de répertorier les profils utilisateur dans un espace de travail | List | |||
| ListVaults | Accorde l'autorisation de répertorier les coffres-forts d'informations d'identification des agents gérés dans un espace de travail | List | |||
| ListWorkspaces | Accorde l'autorisation de répertorier les espaces de travail d'une organisation | List | |||
| TagResource | Accorde l'autorisation de baliser une ressource | Balisage | |||
| UntagResource | Accorde l'autorisation d'annuler le balisage d'une ressource | Identification | |||
| UpdateAgent | Accorde l'autorisation de mettre à jour un agent géré | Écrire | |||
| UpdateEnvironment | Accorde l'autorisation de mettre à jour un environnement d'agents gérés | Écrire | |||
| UpdateMemoryStore | Autorise la mise à jour d'une mémoire, la mutation de ses mémoires ou la suppression d'une version de mémoire | Écrire | |||
| UpdateSession | Accorde l'autorisation de mettre à jour une session d'agent géré, d'ajouter des événements de session ou de gérer ses ressources | Écrire | |||
| UpdateSkill | Accorde l'autorisation de créer ou de supprimer une version de compétence | Écrire | |||
| UpdateUserProfile | Accorde l'autorisation de mettre à jour un profil utilisateur dans un espace de travail | Écrire | |||
| UpdateVault | Autorise la mise à jour d'un coffre-fort d'informations d'identification ou la gestion de ses informations d'identification stockées | Écrire | |||
| UpdateWorkspace | Accorde l'autorisation de mettre à jour un espace de travail | Écrire |
Types de ressources définis par Claude Platform sur AWS
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| workspace |
arn:${Partition}:aws-external-anthropic:${Region}:${Account}:workspace/${ResourceId}
|
Clés de condition pour Claude Platform on AWS
Claude Platform on AWS définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d’application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez la section Clés contextuelles de condition AWS globales.
| Clés de condition | Description | Type |
|---|---|---|
| aws-external-anthropic:BearerTokenType | Filtre l'accès par le Short-term ou les Long-term jetons porteurs | String |
| aws-external-anthropic:CalledViaConsole | Filtre l'accès à l'aide de la console Claude Platform | Booléen |
| aws-external-anthropic:Capability | Filtre l'accès en fonction du rôle Claude Platform utilisé pour la session de console | String |
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction des identifications transmises dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des identifications associées à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction des clés d'identification qui sont transmises dans la demande | ArrayOfString |
