Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Azioni, risorse e chiavi di condizione per Amazon Bedrock Agentcore
Amazon Bedrock Agentcore (prefisso del servizio:bedrock-agentcore) fornisce le seguenti risorse, azioni e chiavi di contesto delle condizioni specifiche del servizio da utilizzare nelle politiche di autorizzazione IAM.
Riferimenti:
-
Scopri come configurare questo servizio.
-
Visualizza un elenco delle operazioni API disponibili per questo servizio.
-
Scopri come proteggere questo servizio e le sue risorse utilizzando le policy delle autorizzazioni IAM.
Argomenti
Azioni definite da Amazon Bedrock Agentcore
Puoi specificare le seguenti operazioni nell'elemento Action di un'istruzione di policy IAM. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando utilizzi un'operazione in una policy, in genere consenti o rifiuti l'accesso all'operazione API o al comando CLI con lo stesso nome. Tuttavia, in alcuni casi, una singola operazione controlla l'accesso a più di una operazione. In alternativa, alcune operazioni richiedono operazioni differenti.
La colonna Livello di accesso della tabella Azioni descrive come viene classificata l'azione (elenco, lettura, gestione delle autorizzazioni o etichettatura). Questa classificazione può aiutare a comprendere il livello di accesso che un'operazione mette a disposizione quando viene utilizzata in una policy. Per ulteriori informazioni sui livelli di accesso, vedere Livelli di accesso nei riepiloghi delle politiche.
La colonna Tipi di risorsa della tabella Operazioni indica se ogni operazione supporta le autorizzazioni a livello di risorsa. Se non vi è nessun valore in corrispondenza di questa colonna, è necessario specificare tutte le risorse ("*") alle quali si applica la policy nell'elemento Resource dell'istruzione di policy. Se la colonna include un tipo di risorsa, puoi specificare un ARN di quel tipo in una istruzione con tale operazione. Se l'operazione ha una o più risorse richieste, il chiamante deve disporre dell'autorizzazione per utilizzare l'operazione con tali risorse. Le risorse richieste sono indicate nella tabella con un asterisco (*). Se si limita l'accesso alle risorse con l'elemento Resource in una policy IAM, è necessario includere un ARN o un modello per ogni tipo di risorsa richiesta. Alcune operazioni supportano più tipi di risorse. Se il tipo di risorsa è facoltativo (non indicato come obbligatorio), puoi scegliere di utilizzare uno tra i tipi di risorsa facoltativi.
La colonna Chiavi di condizione della tabella Operazioni contiene le chiavi che è possibile specificare nell'elemento Condition di un'istruzione di policy. Per ulteriori informazioni sulle chiavi di condizione associate alle risorse per il servizio guarda la colonna Chiavi di condizione della tabella Tipi di risorsa.
La colonna Azioni dipendenti della tabella Azioni mostra le autorizzazioni aggiuntive che possono essere necessarie per eseguire correttamente un'azione. Queste autorizzazioni possono essere necessarie in aggiunta all'autorizzazione per l'azione stessa. Quando un'azione specifica azioni dipendenti, tali dipendenze possono applicarsi a risorse aggiuntive definite per quell'azione, non solo alla prima risorsa elencata nella tabella.
Nota
Le chiavi relative alle condizioni delle risorse sono elencate nella tabella Tipi di risorse. Nella colonna Tipi di risorse (*obbligatorio) della tabella Operazioni è presente un collegamento al tipo di risorsa che si applica a un'operazione. Il tipo di risorsa nella tabella Tipi di risorse include la colonna Chiavi di condizione, che contiene le chiavi delle condizioni delle risorse che si applicano a un'operazione nella tabella Operazioni.
Per dettagli sulle colonne nella tabella seguente, consultare Tabella delle operazioni.
| Azioni | Descrizione | Livello di accesso | Tipi di risorsa (*obbligatorio) | Chiavi di condizione | Operazioni dipendenti |
|---|---|---|---|---|---|
| AllowVendedLogDeliveryForResource [solo autorizzazione] | Concede l'autorizzazione a configurare la telemetria fornita per una risorsa | Gestione delle autorizzazioni | |||
| AuthorizeAction [solo autorizzazione] | Concede l'autorizzazione a valutare le politiche Cedar per le richieste di autorizzazione | Gestione delle autorizzazioni | |||
| BatchCreateMemoryRecords | Concede il permesso di creare uno o più record di memoria | Scrittura | |||
| BatchDeleteMemoryRecords | Concede il permesso di eliminare uno o più record di memoria | Scrittura | |||
| BatchUpdateMemoryRecords | Concede il permesso di aggiornare uno o più record di memoria | Scrittura | |||
| CompleteResourceTokenAuth | Concede l'autorizzazione a recuperare il token di accesso con OAuth2 per il flusso 3LO per accedere a risorse esterne | Lettura | |||
|
bedrock-agentcore:InboundJwtClaim/iss bedrock-agentcore:InboundJwtClaim/sub bedrock-agentcore:InboundJwtClaim/aud bedrock-agentcore:InboundJwtClaim/scope |
|||||
| ConnectBrowserAutomationStream | Concede l'autorizzazione a connettersi a un flusso di automazione del browser | Lettura | |||
| ConnectBrowserLiveViewStream | Concede l'autorizzazione a connettersi a uno streaming di visualizzazione live del browser | Lettura | |||
| CreateABTest | Concede l'autorizzazione a creare un test A/B | Scrittura |
iam:PassRole |
||
| CreateAgentRuntime | Concede l'autorizzazione a creare un nuovo runtime dell'agente | Scrittura |
iam:PassRole |
||
| CreateAgentRuntimeEndpoint | Concede l'autorizzazione a creare un nuovo endpoint di runtime dell'agente | Scrittura | |||
| CreateApiKeyCredentialProvider | Concede l'autorizzazione a creare un nuovo API Key Credential Provider | Scrittura | |||
| CreateBrowser | Concede l'autorizzazione a creare un nuovo browser personalizzato | Scrittura | |||
| CreateBrowserProfile | Concede l'autorizzazione a creare un nuovo profilo del browser | Scrittura | |||
| CreateCodeInterpreter | Concede l'autorizzazione a creare un nuovo interprete di codice personalizzato | Scrittura | |||
| CreateConfigurationBundle | Concede l'autorizzazione a creare un nuovo pacchetto di configurazione | Scrittura | |||
| CreateEvaluator | Concede l'autorizzazione a creare un nuovo valutatore | Scrittura | |||
| CreateEvent | Concede il permesso di creare un evento | Scrittura | |||
| CreateGateway | Concede l'autorizzazione a creare un nuovo gateway | Scrittura |
iam:PassRole |
||
| CreateGatewayRule | Concede l'autorizzazione a creare una nuova regola in un gateway esistente | Scrittura | |||
| CreateGatewayTarget | Concede l'autorizzazione a creare una nuova destinazione in un gateway esistente | Scrittura | |||
| CreateHarness | Concede l'autorizzazione a creare un nuovo harness | Scrittura |
bedrock-agentcore:CreateAgentRuntime bedrock-agentcore:GetAgentRuntime iam:PassRole |
||
| CreateMemory | Concede l'autorizzazione a creare una risorsa di memoria | Scrittura |
iam:PassRole |
||
| CreateOauth2CredentialProvider | Concede l'autorizzazione a creare un nuovo Credential Provider per accedere a risorse esterne con il protocollo OAuth2 | Scrittura | |||
| CreateOnlineEvaluationConfig | Concede l'autorizzazione a creare una nuova configurazione di valutazione online | Scrittura |
iam:PassRole |
||
| CreatePaymentConnector | Concede l'autorizzazione a creare un nuovo connettore di pagamento in un gestore dei pagamenti | Scrittura | |||
| CreatePaymentCredentialProvider | Concede l'autorizzazione a creare un nuovo fornitore di credenziali di pagamento | Scrittura | |||
| CreatePaymentInstrument | Concede l'autorizzazione a creare un nuovo strumento di pagamento | Scrittura | |||
| CreatePaymentManager | Concede l'autorizzazione a creare un nuovo gestore dei pagamenti | Scrittura |
iam:PassRole |
||
| CreatePaymentSession | Concede l'autorizzazione a creare una nuova sessione di pagamento | Scrittura | |||
| CreatePolicy | Concede l'autorizzazione a creare una nuova politica all'interno di un motore di policy | Scrittura | |||
| CreatePolicyEngine | Concede l'autorizzazione a creare un nuovo motore di policy | Scrittura | |||
| CreateRegistry | Concede il permesso di creare un nuovo registro | Scrittura | |||
| CreateRegistryRecord | Concede l'autorizzazione a creare un nuovo record del registro | Scrittura | |||
| CreateWorkloadIdentity | Concede l'autorizzazione a creare una nuova identità del carico di lavoro | Scrittura | |||
| DeleteABTest | Concede l'autorizzazione a eliminare un test A/B | Scrittura | |||
| DeleteAgentRuntime | Concede il permesso di eliminare un runtime dell'agente | Scrittura | |||
| DeleteAgentRuntimeEndpoint | Concede l'autorizzazione a eliminare un endpoint di runtime dell'agente | Scrittura | |||
| DeleteApiKeyCredentialProvider | Concede l'autorizzazione a eliminare un provider di credenziali API Key registrato | Scrittura | |||
| DeleteBatchEvaluation | Concede l'autorizzazione a eliminare una valutazione in batch | Scrittura | |||
| DeleteBrowser | Concede l'autorizzazione per eliminare un browser personalizzato | Scrittura | |||
| DeleteBrowserProfile | Concede l'autorizzazione a eliminare un profilo del browser | Scrittura | |||
| DeleteCodeInterpreter | Concede l'autorizzazione a eliminare un interprete di codice personalizzato | Scrittura | |||
| DeleteConfigurationBundle | Concede l'autorizzazione a eliminare un pacchetto di configurazione | Scrittura | |||
| DeleteEvaluator | Concede il permesso di eliminare un valutatore | Scrittura | |||
| DeleteEvent | Concede il permesso di eliminare un evento | Scrittura | |||
| DeleteGateway | Concede il permesso di eliminare un gateway esistente | Scrittura | |||
| DeleteGatewayRule | Concede l'autorizzazione a eliminare una regola di gateway esistente | Scrittura | |||
| DeleteGatewayTarget | Concede l'autorizzazione a eliminare una destinazione gateway esistente | Scrittura | |||
| DeleteHarness | Concede l'autorizzazione a eliminare un harness | Scrittura |
bedrock-agentcore:DeleteAgentRuntime bedrock-agentcore:GetAgentRuntime iam:PassRole |
||
| DeleteMemory | Concede il permesso di eliminare una risorsa di memoria | Scrittura | |||
| DeleteMemoryRecord | Concede il permesso di eliminare un record di memoria | Scrittura | |||
| DeleteOauth2CredentialProvider | Concede l'autorizzazione a eliminare un provider di credenziali OAuth2 registrato | Scrittura | |||
| DeleteOnlineEvaluationConfig | Concede l'autorizzazione a eliminare una configurazione di valutazione online | Scrittura | |||
| DeletePaymentConnector | Concede l'autorizzazione a eliminare un connettore di pagamento | Scrittura | |||
| DeletePaymentCredentialProvider | Concede l'autorizzazione a eliminare un fornitore di credenziali di pagamento registrato | Scrittura | |||
| DeletePaymentInstrument | Concede l'autorizzazione per eliminare uno strumento di pagamento | Scrittura | |||
| DeletePaymentManager | Concede l'autorizzazione a eliminare un gestore dei pagamenti | Scrittura | |||
| DeletePaymentSession | Concede l'autorizzazione a eliminare una sessione di pagamento | Scrittura | |||
| DeletePolicy | Concede l'autorizzazione a eliminare una politica | Scrittura | |||
| DeletePolicyEngine | Concede l'autorizzazione a eliminare un modulo di gestione delle politiche | Scrittura | |||
| DeleteRecommendation | Concede l'autorizzazione a eliminare una raccomandazione | Scrittura | |||
| DeleteRegistry | Concede il permesso di eliminare un registro esistente | Scrittura | |||
| DeleteRegistryRecord | Concede il permesso di eliminare un record di registro esistente | Scrittura | |||
| DeleteResourcePolicy | Concede l'autorizzazione a eliminare la politica basata sulle risorse per una risorsa Bedrock | Scrittura | |||
| DeleteWorkloadIdentity | Concede l'autorizzazione a eliminare un'identità di carico di lavoro registrata | Scrittura | |||
| Evaluate | Concede l'autorizzazione a eseguire una valutazione utilizzando un valutatore | Scrittura | |||
| GetABTest | Concede il permesso di ottenere i dettagli di un test A/B | Lettura | |||
| GetAgentCard | Concede il permesso di recuperare una tessera di agente per A2A | Lettura | |||
| GetAgentRuntime | Concede l'autorizzazione a ottenere i dettagli del runtime di un agente | Lettura | |||
| GetAgentRuntimeEndpoint | Concede l'autorizzazione a ottenere i dettagli di un endpoint di runtime dell'agente | Lettura | |||
| GetApiKeyCredentialProvider | Concede l'autorizzazione a recuperare un provider di credenziali di chiavi API registrato in base al suo nome | Lettura | |||
| GetBatchEvaluation | Concede l'autorizzazione a ottenere i dettagli di una valutazione in batch | Lettura | |||
| GetBrowser | Concede il permesso di ottenere i dettagli di un browser | Lettura | |||
| GetBrowserProfile | Concede l'autorizzazione a ottenere i dettagli del profilo di un browser | Lettura | |||
| GetBrowserSession | Concede l'autorizzazione a ottenere i dettagli di una sessione del browser | Lettura | |||
| GetCodeInterpreter | Concede il permesso di ottenere i dettagli di un interprete di codice | Lettura | |||
| GetCodeInterpreterSession | Concede il permesso di ottenere i dettagli di una sessione di interprete di codice | Lettura | |||
| GetConfigurationBundle | Concede il permesso di ottenere i dettagli di un pacchetto di configurazione | Lettura | |||
| GetConfigurationBundleVersion | Concede il permesso di ottenere una versione specifica di un pacchetto di configurazione | Lettura | |||
| GetEvaluator | Concede il permesso di ottenere i dettagli di un valutatore | Lettura | |||
| GetEvent | Concede il permesso di recuperare un evento | Lettura | |||
| GetGateway | Concede l'autorizzazione a recuperare un gateway esistente | Lettura | |||
| GetGatewayRule | Concede l'autorizzazione a recuperare una regola di gateway esistente | Lettura | |||
| GetGatewayTarget | Concede l'autorizzazione a recuperare una destinazione gateway esistente | Lettura | |||
| GetHarness | Concede l'autorizzazione a ottenere i dettagli di un cablaggio | Lettura | |||
| GetMemory | Concede il permesso di recuperare i dettagli di una risorsa di memoria | Lettura | |||
| GetMemoryRecord | Concede il permesso di recuperare un record di memoria | Lettura | |||
| GetOauth2CredentialProvider | Concede l'autorizzazione a recuperare un provider di credenziali OAuth2 registrato in base al suo nome | Lettura | |||
| GetOnlineEvaluationConfig | Concede l'autorizzazione a ottenere i dettagli di una configurazione di valutazione online | Lettura | |||
| GetPaymentConnector | Concede l'autorizzazione a recuperare i dettagli di un connettore di pagamento | Lettura | |||
| GetPaymentCredentialProvider | Concede l'autorizzazione a recuperare il nome di un fornitore di credenziali di pagamento registrato | Lettura | |||
| GetPaymentInstrument | Concede l'autorizzazione a recuperare i dettagli di uno strumento di pagamento | Lettura | |||
| GetPaymentInstrumentBalance | Concede l'autorizzazione a recuperare il saldo di uno strumento di pagamento | Lettura | |||
| GetPaymentManager | Concede l'autorizzazione a recuperare i dettagli di un gestore dei pagamenti | Lettura | |||
| GetPaymentSession | Concede l'autorizzazione a recuperare i dettagli di una sessione di pagamento | Lettura | |||
| GetPolicy | Concede l'autorizzazione a recuperare una politica | Lettura | |||
| GetPolicyEngine | Concede l'autorizzazione a recuperare un modulo di gestione delle politiche | Lettura | |||
| GetPolicyEngineSummary | Concede l'autorizzazione a recuperare un riepilogo di un motore di policy | Lettura | |||
| GetPolicyGeneration | Concede l'autorizzazione a recuperare lo stato e i risultati di una richiesta di generazione di policy | Lettura | |||
| GetPolicyGenerationSummary | Concede l'autorizzazione a recuperare un riepilogo di una richiesta di generazione di politiche | Lettura | |||
| GetPolicySummary | Concede l'autorizzazione a recuperare un riepilogo di una politica | Lettura | |||
| GetRecommendation | Concede l'autorizzazione a ottenere i dettagli di una raccomandazione | Lettura | |||
| GetRegistry | Concede il permesso di recuperare un registro esistente | Lettura | |||
| GetRegistryRecord | Concede l'autorizzazione a recuperare un record di registro esistente | Lettura | |||
| GetResourceApiKey | Concede l'autorizzazione a recuperare una chiave API associata a un fornitore di credenziali Api Key | Lettura | |||
| GetResourceOauth2Token | Concede l'autorizzazione a recuperare il token di accesso con il flusso OAuth2 2LO o 3LO per accedere a risorse esterne | Lettura | |||
| GetResourcePaymentToken | Concede l'autorizzazione a recuperare un token di autenticazione di pagamento associato a un fornitore di credenziali di pagamento | Lettura | |||
| GetResourcePolicy | Concede l'autorizzazione a recuperare la politica basata sulle risorse per una risorsa Bedrock | Lettura | |||
| GetTokenVault | Concede l'autorizzazione a recuperare la configurazione corrente di, incluse le impostazioni di crittografia TokenVault | Lettura | |||
| GetWorkloadAccessToken | Concede l'autorizzazione a recuperare un token di accesso al carico di lavoro per carichi di lavoro agentici che non agiscono per conto di un utente | Scrittura | |||
| GetWorkloadAccessTokenForJWT | Concede l'autorizzazione a recuperare un token di accesso Workload per carichi di lavoro agentici che agiscono per conto di un utente con il token JWT | Scrittura | |||
|
bedrock-agentcore:InboundJwtClaim/iss bedrock-agentcore:InboundJwtClaim/sub bedrock-agentcore:InboundJwtClaim/aud |
|||||
| GetWorkloadAccessTokenForUserId | Concede l'autorizzazione a recuperare un token di accesso Workload per carichi di lavoro agentici che agiscono per conto di un utente con ID utente | Scrittura | |||
| GetWorkloadIdentity | Concede l'autorizzazione a recuperare i dettagli per un'identità di Workload specifica, incluso il nome e gli URL di ritorno OAuth2 consentiti | Lettura | |||
| InvokeAgentRuntime | Concede l'autorizzazione a richiamare un endpoint di runtime dell'agente | Scrittura | |||
| InvokeAgentRuntimeCommand | Concede l'autorizzazione a richiamare comandi su un endpoint di runtime dell'agente | Scrittura | |||
| InvokeAgentRuntimeForUser | Concede l'autorizzazione a richiamare un endpoint di runtime dell'agente con intestazione X-Amzn-Bedrock-AgentCore-Runtime-User-Id | Scrittura | |||
| InvokeAgentRuntimeWithWebSocketStream | Concede l'autorizzazione a richiamare un endpoint di runtime dell'agente con stream WebSocket | Scrittura | |||
| InvokeAgentRuntimeWithWebSocketStreamForUser | Concede l'autorizzazione a richiamare un endpoint di runtime dell'agente con stream e con header WebSocket X-Amzn-Bedrock-AgentCore-Runtime-User-Id | Scrittura | |||
| InvokeCodeInterpreter | Concede l'autorizzazione a richiamare una sessione di interprete di codice | Scrittura | |||
| InvokeGateway [solo autorizzazione] | Concede l'autorizzazione a richiamare un gateway | Gestione delle autorizzazioni | |||
| InvokeHarness | Concede l'autorizzazione a richiamare un harness | Scrittura |
bedrock-agentcore:InvokeAgentRuntime |
||
| InvokeRegistryMcp | Concede l'autorizzazione a richiamare un'operazione MCP su un registro esistente | Lettura | |||
| ListABTests | Concede l'autorizzazione a elencare i test A/B | List | |||
| ListActors | Concede il permesso di elencare gli attori | List | |||
| ListAgentRuntimeEndpoints | Concede l'autorizzazione a elencare gli endpoint di runtime dell'agente | List | |||
| ListAgentRuntimeVersions | Concede l'autorizzazione a elencare le versioni di runtime dell'agente | List | |||
| ListAgentRuntimes | Concede l'autorizzazione a elencare i runtime degli agenti | List | |||
| ListApiKeyCredentialProviders | Concede l'autorizzazione a elencare tutti i provider di credenziali API Key nel Token Vault | Lettura | |||
| ListBatchEvaluations | Concede l'autorizzazione a elencare le valutazioni in batch | List | |||
| ListBrowserProfiles | Concede l'autorizzazione a elencare i profili dei browser | List | |||
| ListBrowserSessions | Concede l'autorizzazione a elencare le sessioni del browser | List | |||
| ListBrowsers | Concede l'autorizzazione a elencare i browser | List | |||
| ListCodeInterpreterSessions | Concede l'autorizzazione a elencare le sessioni dell'interprete di codice | List | |||
| ListCodeInterpreters | Concede l'autorizzazione a elencare gli interpreti di codici | List | |||
| ListConfigurationBundleVersions | Concede l'autorizzazione a elencare le versioni di un pacchetto di configurazione | List | |||
| ListConfigurationBundles | Concede l'autorizzazione a elencare i pacchetti di configurazione | List | |||
| ListEvaluators | Concede il permesso di elencare i valutatori | List | |||
| ListEvents | Concede l'autorizzazione a elencare gli eventi | List | |||
| ListGatewayRules | Concede l'autorizzazione a elencare le regole del gateway esistenti | List | |||
| ListGatewayTargets | Concede l'autorizzazione a elencare gli obiettivi del gateway esistenti | List | |||
| ListGateways | Concede l'autorizzazione a elencare i gateway esistenti | List | |||
| ListHarnesses | Concede l'autorizzazione a elencare i cablaggi | List | |||
| ListMemories | Concede il permesso di elencare le risorse di memoria | List | |||
| ListMemoryExtractionJobs | Concede il permesso di elencare i lavori di estrazione per questa memoria | List | |||
| ListMemoryRecords | Concede il permesso di elencare i record di memoria | List | |||
| ListOauth2CredentialProviders | Concede l'autorizzazione a elencare tutti i fornitori di credenziali OAuth2 nel Token Vault | Lettura | |||
| ListOnlineEvaluationConfigs | Concede l'autorizzazione a elencare le configurazioni di valutazione online | List | |||
| ListPaymentConnectors | Concede l'autorizzazione a elencare i connettori di pagamento in un gestore dei pagamenti | List | |||
| ListPaymentCredentialProviders | Concede l'autorizzazione a elencare tutti i fornitori di credenziali di pagamento nel Token Vault | List | |||
| ListPaymentInstruments | Concede l'autorizzazione a elencare gli strumenti di pagamento | List | |||
| ListPaymentManagers | Concede l'autorizzazione a elencare i gestori dei pagamenti | List | |||
| ListPaymentSessions | Concede l'autorizzazione a elencare le sessioni di pagamento | List | |||
| ListPolicies | Concede l'autorizzazione a elencare le politiche all'interno di un motore di policy | List | |||
| ListPolicyEngineSummaries | Concede l'autorizzazione a elencare i riepiloghi del modulo di gestione delle politiche | List | |||
| ListPolicyEngines | Concede l'autorizzazione a elencare i motori delle politiche | List | |||
| ListPolicyGenerationAssets | Concede l'autorizzazione a elencare le risorse politiche generate da una richiesta di generazione | List | |||
| ListPolicyGenerationSummaries | Concede l'autorizzazione a elencare i riepiloghi della generazione delle politiche | List | |||
| ListPolicyGenerations | Concede l'autorizzazione a elencare le richieste di generazione delle politiche | List | |||
| ListPolicySummaries | Concede l'autorizzazione a elencare i riepiloghi delle politiche all'interno di un motore di policy | List | |||
| ListRecommendations | Concede l'autorizzazione a elencare i consigli | List | |||
| ListRegistries | Concede l'autorizzazione a elencare i registri esistenti | List | |||
| ListRegistryRecords | Concede l'autorizzazione a elencare i record di registro esistenti in un registro | List | |||
| ListSessions | Concede l'autorizzazione a elencare le sessioni | List | |||
| ListTagsForResource | Concede il permesso di elencare i tag di una risorsa Bedrock-AgentCore | List | |||
| ListWorkloadIdentities | Concede l'autorizzazione a elencare tutte le identità del carico di lavoro nella cartella del chiamante Account AWS | Lettura | |||
| ManageAdminPolicy [solo autorizzazione] | Concede l'autorizzazione a creare o modificare le politiche wildcard che si applicano alle risorse del gateway | Gestione delle autorizzazioni | |||
| ManageResourceScopedPolicy [solo autorizzazione] | Concede l'autorizzazione a creare o modificare le politiche che si applicano a risorse gateway specifiche | Gestione delle autorizzazioni | |||
| PartiallyAuthorizeActions [solo autorizzazione] | Concede l'autorizzazione a eseguire una valutazione parziale delle politiche Cedar per autorizzare un chiamante a elencare gli strumenti che è autorizzato a chiamare | Gestione delle autorizzazioni | |||
| ProcessPayment | Concede l'autorizzazione a elaborare una transazione di pagamento | Scrittura | |||
| PutResourcePolicy | Concede l'autorizzazione a creare o aggiornare la politica basata sulle risorse per una risorsa Bedrock | Scrittura | |||
| RetrieveMemoryRecords | Concede l'autorizzazione a recuperare i record di memoria tramite interrogazioni sematiche | List | |||
| SaveBrowserSessionProfile | Concede l'autorizzazione a salvare un profilo di sessione del browser | Scrittura | |||
| SearchRegistryRecords | Concede il permesso di cercare i record del registro | Lettura | |||
| SetTokenVaultCMK | Concede l'autorizzazione ad associare una chiave gestita dal cliente (CMK) o una chiave gestita dal servizio a una chiave specifica TokenVault | Scrittura | |||
| StartBatchEvaluation | Concede l'autorizzazione ad avviare una valutazione in batch | Scrittura | |||
| StartBrowserSession | Concede il permesso di iniziare una nuova sessione del browser | Scrittura | |||
| StartCodeInterpreterSession | Concede il permesso di avviare una nuova sessione di interprete di codice | Scrittura | |||
| StartMemoryExtractionJob | Concede il permesso di avviare il processo di estrazione della memoria | Scrittura | |||
| StartPolicyGeneration | Concede il permesso di avviare una richiesta di generazione di AI-powered policy | Scrittura | |||
| StartRecommendation | Concede il permesso di avviare una raccomandazione | Scrittura | |||
| StopBatchEvaluation | Concede l'autorizzazione a interrompere una valutazione in batch | Scrittura | |||
| StopBrowserSession | Concede il permesso di interrompere una sessione del browser | Scrittura | |||
| StopCodeInterpreterSession | Concede il permesso di interrompere una sessione di interprete di codice | Scrittura | |||
| StopRuntimeSession | Concede il permesso di interrompere una sessione di runtime | Scrittura | |||
| SubmitRegistryRecordForApproval | Concede l'autorizzazione a inviare un record di registro per l'approvazione | Scrittura | |||
| SynchronizeGatewayTargets [solo autorizzazione] | Concede l'autorizzazione per abilitare la ricerca sui gateway | Gestione delle autorizzazioni | |||
| TagResource | Concede l'autorizzazione a contrassegnare una risorsa Bedrock-AgentCore | Assegnazione di tag | |||
| UntagResource | Concede l'autorizzazione a rimuovere i tag da una risorsa Bedrock-AgentCore | Assegnazione di tag | |||
| UpdateABTest | Concede il permesso di aggiornare un test A/B | Scrittura |
iam:PassRole |
||
| UpdateAgentRuntime | Concede l'autorizzazione ad aggiornare il runtime di un agente | Scrittura |
iam:PassRole |
||
| UpdateAgentRuntimeEndpoint | Concede l'autorizzazione ad aggiornare un endpoint di runtime dell'agente | Scrittura | |||
| UpdateApiKeyCredentialProvider | Concede l'autorizzazione ad aggiornare un provider di credenziali API Key esistente | Scrittura | |||
| UpdateBrowserStream | Concede l'autorizzazione ad aggiornare lo stato del flusso di sessione del browser | Scrittura | |||
| UpdateConfigurationBundle | Concede l'autorizzazione ad aggiornare un pacchetto di configurazione | Scrittura | |||
| UpdateEvaluator | Concede l'autorizzazione ad aggiornare un valutatore | Scrittura | |||
| UpdateGateway | Concede l'autorizzazione ad aggiornare un gateway esistente | Scrittura |
iam:PassRole |
||
| UpdateGatewayRule | Concede l'autorizzazione ad aggiornare una regola di gateway esistente | Scrittura | |||
| UpdateGatewayTarget | Concede l'autorizzazione ad aggiornare una destinazione gateway esistente | Scrittura | |||
| UpdateHarness | Concede l'autorizzazione ad aggiornare un harness | Scrittura |
bedrock-agentcore:GetAgentRuntime bedrock-agentcore:UpdateAgentRuntime iam:PassRole |
||
| UpdateMemory | Concede l'autorizzazione ad aggiornare una risorsa di memoria | Scrittura |
iam:PassRole |
||
| UpdateOauth2CredentialProvider | Concede l'autorizzazione ad aggiornare un provider di credenziali OAuth2 esistente | Scrittura | |||
| UpdateOnlineEvaluationConfig | Concede l'autorizzazione ad aggiornare una configurazione di valutazione online | Scrittura |
iam:PassRole |
||
| UpdatePaymentConnector | Concede l'autorizzazione ad aggiornare un connettore di pagamento esistente | Scrittura | |||
| UpdatePaymentCredentialProvider | Concede l'autorizzazione ad aggiornare un fornitore di credenziali di pagamento esistente | Scrittura | |||
| UpdatePaymentManager | Concede l'autorizzazione ad aggiornare un gestore dei pagamenti esistente | Scrittura |
iam:PassRole |
||
| UpdatePolicy | Concede l'autorizzazione ad aggiornare una politica esistente | Scrittura | |||
| UpdatePolicyEngine | Concede l'autorizzazione ad aggiornare un motore di policy | Scrittura | |||
| UpdateRegistry | Concede l'autorizzazione ad aggiornare un registro esistente | Scrittura | |||
| UpdateRegistryRecord | Concede l'autorizzazione ad aggiornare un record di registro esistente | Scrittura | |||
| UpdateRegistryRecordStatus | Concede l'autorizzazione ad aggiornare lo stato di un record del registro | Scrittura | |||
| UpdateWorkloadIdentity | Concede l'autorizzazione ad aggiornare i metadati di un'identità di carico di lavoro esistente | Scrittura | |||
Tipi di risorse definiti da Amazon Bedrock Agentcore
I seguenti tipi di risorse sono definiti da questo servizio e possono essere utilizzati nell'elemento Resource delle istruzioni di policy delle autorizzazioni IAM. Ogni operazione nella Tabella delle operazioni identifica i tipi di risorse che possono essere specificati con tale operazione. Un tipo di risorsa può anche definire quali chiavi di condizione puoi includere in una policy. Queste chiavi vengono visualizzate nell'ultima colonna della tabella Tipi di risorsa. Per dettagli sulle colonne nella tabella seguente, consulta Tabella dei tipi di risorsa.
| Tipi di risorse | ARN | Chiavi di condizione |
|---|---|---|
| evaluator |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:evaluator/${EvaluatorId}
|
|
| online-evaluation-config |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:online-evaluation-config/${OnlineEvaluationConfigId}
|
|
| memory |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:memory/${MemoryId}
|
|
| gateway |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:gateway/${GatewayId}
|
|
| workload-identity |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}/workload-identity/${WorkloadIdentityName}
|
|
| oauth2credentialprovider |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/oauth2credentialprovider/${Name}
|
|
| apikeycredentialprovider |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/apikeycredentialprovider/${Name}
|
|
| runtime |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}
|
|
| runtime-endpoint |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}/runtime-endpoint/${Name}
|
|
| code-interpreter-custom |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:code-interpreter-custom/${CodeInterpreterId}
|
|
| code-interpreter |
arn:${Partition}:bedrock-agentcore:${Region}:aws:code-interpreter/${CodeInterpreterId}
|
|
| browser-custom |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:browser-custom/${BrowserId}
|
|
| browser |
arn:${Partition}:bedrock-agentcore:${Region}:aws:browser/${BrowserId}
|
|
| browser-profile |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:browser-profile/${BrowserProfileId}
|
|
| workload-identity-directory |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}
|
|
| token-vault |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}
|
|
| policy-engine |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:policy-engine/${PolicyEngineId}
|
|
| policy |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:policy-engine/${PolicyEngineId}/policy/${PolicyId}
|
|
| policy-generation |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:policy-engine/${PolicyEngineId}/policy-generation/${PolicyGenerationId}
|
|
| registry |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:registry/${RegistryId}
|
|
| registry-record |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:registry/${RegistryId}/record/${RecordId}
|
|
| harness |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:harness/${HarnessId}
|
|
| batch-evaluate |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:batch-evaluate/${BatchEvaluationId}
|
|
| ab-test |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:ab-test/${ABTestId}
|
|
| recommendation |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:recommendation/${RecommendationId}
|
|
| configuration-bundle |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:configuration-bundle/${ConfigurationBundleId}
|
|
| payment-manager |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:payment-manager/${PaymentManagerId}
|
|
| paymentcredentialprovider |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/paymentcredentialprovider/${Name}
|
Chiavi delle condizioni per Amazon Bedrock Agentcore
Amazon Bedrock Agentcore definisce le seguenti chiavi di condizione che possono essere utilizzate nell'Conditionelemento di una policy IAM. Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy. Per dettagli sulle colonne nella tabella seguente, consulta Tabella delle chiavi di condizione.
Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta le chiavi di AWS contesto delle condizioni globali.
| Chiavi di condizione | Descrizione | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra l'accesso creando richieste in base al set di valori consentito per ciascuno dei tag obbligatori | Stringa |
| aws:ResourceTag/${TagKey} | Filtra l'accesso disponendo di azioni basate sul valore del tag associato alla risorsa | Stringa |
| aws:TagKeys | Filtra l'accesso creando richieste in base alla presenza di tag obbligatori nella richiesta | ArrayOfString |
| bedrock-agentcore:GatewayAuthorizerType | Filtra l'accesso tramite l'attributo AuthorizerType su un Gateway | Stringa |
| bedrock-agentcore:InboundJwtClaim/aud | Filtra l'accesso in base all'audience claim (aud) nel JWT passato nella richiesta | ArrayOfString |
| bedrock-agentcore:InboundJwtClaim/client_id | Filtra l'accesso tramite l'affermazione client_id nel JWT passato nella richiesta | Stringa |
| bedrock-agentcore:InboundJwtClaim/iss | Filtra l'accesso da parte del claim dell'emittente (iss) presente nel JWT passato nella richiesta | Stringa |
| bedrock-agentcore:InboundJwtClaim/scope | Filtra l'accesso in base all'ambito richiesto nel JWT inserito nella richiesta | ArrayOfString |
| bedrock-agentcore:InboundJwtClaim/sub | Filtra l'accesso in base all'oggetto (sub) nel JWT passato nella richiesta | Stringa |
| bedrock-agentcore:KmsKeyArn | Filtra l'accesso tramite KMS Key Warn fornito | Stringa |
| bedrock-agentcore:RuntimeAuthorizerType | Filtra l'accesso in base al tipo di autorizzazione configurato per il runtime AgentCore | Stringa |
| bedrock-agentcore:actorId | Filtra l'accesso per Actor Id | Stringa |
| bedrock-agentcore:namespace | Filtra l'accesso per namespace | Stringa |
| bedrock-agentcore:securityGroups | Filtra l'accesso in base all'ID dei gruppi di sicurezza configurati per il runtime AgentCore | ArrayOfString |
| bedrock-agentcore:sessionId | Filtra l'accesso in base all'ID della sessione | Stringa |
| bedrock-agentcore:strategyId | Filtra l'accesso in base all'ID della strategia di memoria | Stringa |
| bedrock-agentcore:subnets | Filtra l'accesso in base all'ID delle sottoreti configurate per il runtime AgentCore | ArrayOfString |
| bedrock-agentcore:userid | Filtra l'accesso in base al valore dell'ID utente statico passato nella richiesta | Stringa |
