翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Amazon Bedrock の マネージドポリシー
ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを作成するよりも、 AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する IAM カスタマーマネージドポリシーを作成するには時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、「IAM ユーザーガイド」の「 AWS 管理ポリシー」を参照してください。
AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が破損することはありません。
さらに、 は、複数のサービスにまたがる職務機能の管理ポリシー AWS をサポートします。例えば、ReadOnlyAccess AWS マネージドポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースに読み取り専用アクセス許可 AWS を追加します。ジョブ機能ポリシーのリストと説明については、IAM ユーザーガイドのジョブ機能のAWS 管理ポリシーを参照してください。
トピック
AWS マネージドポリシー: AmazonBedrockFullAccess
AmazonBedrockFullAccess ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、ユーザーアクセス許可に Amazon Bedrock リソースの作成、読み取り、更新、および削除を許可する管理者アクセス許可を付与します。
注記
ファインチューニングとモデルアクセスには追加のアクセス許可が必要です。詳細については、「サードパーティーモデルのサブスクリプションへのアクセスを許可する」と「S3 のトレーニングファイルや検証ファイルにアクセスし、出力ファイルを書き込むアクセス許可」を参照してください。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
ec2(Amazon Elastic Compute Cloud) – VPC、サブネット、およびセキュリティグループを記述するためのアクセス許可を許可します。 -
iam(AWS Identity and Access Management) – プリンシパルがロールを渡すことを許可しますが、プリンシパルが Amazon Bedrock サービスに渡すことができるのは、プリンシパルに「Amazon Bedrock」が含まれる IAM ロールのみです。アクセス許可は Amazon Bedrock オペレーションのbedrock.amazonaws.comに限定されています。 -
kms(AWS Key Management Service) – プリンシパルが AWS KMS キーとエイリアスを記述できるようにします。 -
bedrock(Amazon Bedrock) – Amazon Bedrock コントロールプレーンおよびランタイムサービスのすべてのアクションに対するプリンシパルの読み取りおよび書き込みアクセスを許可します。 -
sagemaker(Amazon SageMaker AI) – プリンシパルが顧客のアカウントの Amazon SageMaker AI リソースにアクセスできるようにします。これは、Amazon Bedrock Marketplace 機能の基盤として機能します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BedrockAll", "Effect": "Allow", "Action": [ "bedrock:*" ], "Resource": "*" }, { "Sid": "DescribeKey", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:*:kms:*:::*" }, { "Sid": "APIsWithAllResourceAccess", "Effect": "Allow", "Action": [ "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "MarketplaceModelEndpointMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:DeleteEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com", "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible" } } }, { "Sid": "MarketplaceModelEndpointAddTagsOperations", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "sagemaker-sdk:bedrock", "bedrock:marketplace-registration-status", "sagemaker-studio:hub-content-arn" ] }, "StringLike": { "aws:RequestTag/sagemaker-sdk:bedrock": "compatible", "aws:RequestTag/bedrock:marketplace-registration-status": "registered", "aws:RequestTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*" } } }, { "Sid": "MarketplaceModelEndpointDeleteTagsOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "sagemaker-sdk:bedrock", "bedrock:marketplace-registration-status", "sagemaker-studio:hub-content-arn" ] }, "StringLike": { "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible", "aws:ResourceTag/bedrock:marketplace-registration-status": "registered", "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*" } } }, { "Sid": "MarketplaceModelEndpointNonMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "MarketplaceModelEndpointInvokingOperations", "Effect": "Allow", "Action": [ "sagemaker:InvokeEndpoint", "sagemaker:InvokeEndpointWithResponseStream" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com", "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible" } } }, { "Sid": "DiscoveringMarketplaceModel", "Effect": "Allow", "Action": [ "sagemaker:DescribeHubContent" ], "Resource": [ "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*", "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" ] }, { "Sid": "AllowMarketplaceModelsListing", "Effect": "Allow", "Action": [ "sagemaker:ListHubContents" ], "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" }, { "Sid": "PassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*SageMaker*ForBedrock*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "bedrock.amazonaws.com" ] } } }, { "Sid": "PassRoleToBedrock", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonBedrock*", "Condition": { "StringEquals": { "iam:PassedToService": [ "bedrock.amazonaws.com" ] } } } ] }
AWS マネージドポリシー: AmazonBedrockReadOnly
AmazonBedrockReadOnly ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、ユーザーが Amazon Bedrock ですべてのリソースを表示できるようにする読み取り専用のアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonBedrockReadOnly", "Effect": "Allow", "Action": [ "bedrock:Get*", "bedrock:List*" ], "Resource": "*" }, { "Sid": "MarketplaceModelEndpointNonMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeInferenceComponent", "sagemaker:ListEndpoints", "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "DiscoveringMarketplaceModel", "Effect": "Allow", "Action": [ "sagemaker:DescribeHubContent" ], "Resource": [ "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*", "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" ] }, { "Sid": "AllowMarketplaceModelsListing", "Effect": "Allow", "Action": [ "sagemaker:ListHubContents" ], "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" } ] }
AWS マネージドポリシー: AmazonBedrockStudioPermissionsBoundary
注記
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーで IAM プリンシパルに付与することのできる許可の上限を設定します。Amazon Bedrock Studio のアクセス許可の境界ポリシーを独自に使用およびアタッチしてはいけません。Amazon Bedrock Studio アクセス許可の境界ポリシーは、Amazon Bedrock Studio マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「IAM ユーザーガイド」の「IAM エンティティのアクセス許可の境界」を参照してください。
-
現在のバージョンの Amazon Bedrock Studio では、 という名前の同様のポリシー
AmazonDataZoneBedrockPermissionsBoundaryが AWS アカウントに引き続き存在することが想定されています。詳細については、「ステップ 2: アクセス許可の境界、サービスロール、プロビジョニングロールを作成する」を参照してください。
Amazon Bedrock Studio プロジェクト、アプリ、およびコンポーネントを作成すると、Amazon Bedrock Studio は、これらのリソースの作成時に生成される IAM ロールにこのアクセス許可の境界を適用します。
Amazon Bedrock Studio は、AmazonBedrockStudioPermissionsBoundary マネージドポリシーを使用して、アタッチされているプロビジョニングされた IAM プリンシパルのアクセス許可を制限します。プリンシパルは、Amazon DataZone が Amazon Bedrock Studio ユーザーに代わって引き受けることができるユーザーロールの形をとり、Amazon S3 オブジェクトの読み取りと書き込み、または Amazon Bedrock エージェントへの呼び出しなどのアクションを実行するかもしれません。
この AmazonBedrockStudioPermissionsBoundary ポリシーは、Amazon Bedrock Studio の読み取りおよび書き込みアクセスを、Amazon S3、Amazon Bedrock、Amazon OpenSearch Serverless、 AWS Lambdaなどのサービスに許可します。また、このポリシーは、AWS Secrets Manager シークレット、Amazon CloudWatch ロググループ、 AWS KMS キーなど、これらのサービスを使用するために必要な一部のインフラストラクチャリソースへの読み取りおよび書き込みアクセス許可も付与します。
このポリシーは、以下のアクセス許可のセットで構成されています。
s3— Amazon Bedrock Studio によって管理される Amazon S3 バケット内のオブジェクトへの読み取りおよび書き込みアクセスを許可します。bedrock– Amazon Bedrock Studio によって管理される Amazon Bedrock エージェント、ナレッジベース、ガードレールを使用できるようにします。aoss– Amazon Bedrock Studio によって管理される Amazon OpenSearch Serverless コレクションへの API アクセスを許可します。lambda– Amazon Bedrock Studio によって管理される AWS Lambda 関数を呼び出す機能を付与します。secretsmanager– Amazon Bedrock Studio によって管理される AWS Secrets Manager シークレットへの読み取りおよび書き込みアクセスを許可します。logs– Amazon Bedrock Studio によって管理される Amazon CloudWatch Logs への書き込みアクセスを提供します。kms– Amazon Bedrock Studio データを暗号化するための AWS キーを使用するためのアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessS3Buckets", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListBucketVersions", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:DeleteObjectVersion" ], "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AccessOpenSearchCollections", "Effect": "Allow", "Action": "aoss:APIAccessAll", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "InvokeBedrockModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "arn:aws:bedrock:*::foundation-model/*" }, { "Sid": "AccessBedrockResources", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent", "bedrock:Retrieve", "bedrock:StartIngestionJob", "bedrock:GetIngestionJob", "bedrock:ListIngestionJobs", "bedrock:ApplyGuardrail", "bedrock:ListPrompts", "bedrock:GetPrompt", "bedrock:CreatePrompt", "bedrock:DeletePrompt", "bedrock:CreatePromptVersion", "bedrock:InvokeFlow", "bedrock:ListTagsForResource", "bedrock:TagResource", "bedrock:UntagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "RetrieveAndGenerate", "Effect": "Allow", "Action": "bedrock:RetrieveAndGenerate", "Resource": "*" }, { "Sid": "WriteLogs", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "InvokeLambdaFunctions", "Effect": "Allow", "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:*:*:function:br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "AccessSecretsManagerSecrets", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "UseKmsKeyWithBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "Null": { "kms:EncryptionContext:aws:bedrock:arn": "false" } } }, { "Sid": "UseKmsKeyWithAwsServices", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com", "secretsmanager.*.amazonaws.com" ] } } } ] }
Amazon Bedrock の AWS マネージドポリシーの更新
Amazon Bedrock の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページへの変更に関する自動通知を受けるには、Amazon Bedrock ユーザーガイドのドキュメント履歴 の RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AmazonBedrockFullAccess – 更新されたポリシー |
Amazon Bedrock はAmazonBedrockFullAccess 管理ポリシーを更新し、Amazon Bedrock Marketplace リソースを作成、読み取り、更新、削除するために必要なアクセス許可をお客様に付与しました。これには、基盤となる Amazon SageMaker AI リソースを管理するアクセス許可が含まれます。これらのリソースは、Amazon Bedrock Marketplace 機能の基盤として機能します。 |
2024 年 12 月 4 日 |
|
AmazonBedrockReadOnly – 更新したポリシー |
Amazon Bedrock は、AmazonBedrockReadOnly マネージドポリシーを更新し、Amazon Bedrock Marketplace リソースを読み取るために必要なアクセス許可をお客様に付与しました。これには、基盤となる Amazon SageMaker AI リソースを管理するアクセス許可が含まれます。これらのリソースは、Amazon Bedrock Marketplace 機能の基盤として機能します。 |
2024 年 12 月 4 日 |
|
AmazonBedrockReadOnly – 更新したポリシー |
Amazon Bedrock は AmazonBedrockReadOnly ポリシーを更新し、カスタムモデルインポートの読み取り専用アクセス権限を追加しました。 |
2024 年 10 月 18 日 |
|
AmazonBedrockReadOnly – 更新したポリシー |
Amazon Bedrock は、推論プロファイルの読み取り専用アクセス権限を追加しました。 |
2024 年 8 月 27 日 |
|
AmazonBedrockReadOnly – 更新したポリシー |
Amazon Bedrock は、AmazonBedrockReadOnly ポリシーを更新し、Amazon Bedrock Guardrails、Amazon Bedrock モデル評価、Amazon Bedrock バッチ推論の読み取り専用アクセス権限を追加しました。 |
2024 年 8 月 21 日 |
|
AmazonBedrockReadOnly – 更新したポリシー |
Amazon Bedrock は、バッチ推論 (モデル呼び出しジョブ) の読み取り専用アクセス権限を追加しました。 |
2024 年 8 月 21 日 |
|
AmazonBedrockStudioPermissionsBoundary – 新しいポリシー |
Amazon Bedrock は、このポリシーの最初のバージョンを発行しました。 |
2024 年 7 月 31 日 |
|
AmazonBedrockReadOnly – 更新したポリシー |
Amazon Bedrock は AmazonBedrockReadOnly ポリシーを更新し、Amazon Bedrock カスタムモデルインポートの読み取り専用アクセス権限を追加しました。 |
2024 年 9 月 3 日 |
|
AmazonBedrockFullAccess – 新しいポリシー |
Amazon Bedrock は、リソースの作成、読み取り、更新、および削除に対するアクセス許可をユーザーに付与する新しいポリシーを追加しました。 |
2023 年 12 月 12 日 |
|
AmazonBedrockReadOnly – 新しいポリシー |
Amazon Bedrock は、すべてのアクションに対する読み取り専用アクセス許可をユーザーに付与する新しいポリシーを追加しました。 |
2023 年 12 月 12 日 |
|
Amazon Bedrock が変更の追跡を開始 |
Amazon Bedrock が AWS マネージドポリシーの変更の追跡を開始しました。 |
2023 年 12 月 12 日 |
