翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Bedrock のアクション、リソース、条件キー
Amazon Bedrock (サービスプレフィックス: bedrock) では、 IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
API このサービスで使用できるオペレーションのリストを表示します。
-
アクセス許可ポリシーを使用してIAM、このサービスとそのリソースを保護する方法について説明します。
Amazon Bedrock によって定義されたアクション
IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前のAPIオペレーションまたはCLIコマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、ARNそのアクションを使用して ステートメントでそのタイプの を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシー内の Resource要素を使用してリソースアクセスを制限する場合は、必要なリソースタイプごとに ARNまたは パターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| AllowVendedLogDeliveryForResource[アクセス許可のみ] | ナレッジベースの自動ログ配信を設定するアクセス許可を付与 | 権限の管理 | |||
| ApplyGuardrail | ガードレールを適用するアクセス許可を付与 | 読み取り | |||
| AssociateAgentKnowledgeBase | ナレッジベースをエージェントに関連付ける許可を付与 | 書き込み | |||
| AssociateThirdPartyKnowledgeBase[アクセス許可のみ] | サードパーティのプラットフォームを使用してナレッジデータを保存する許可を付与 | 書き込み | |||
| BatchDeleteEvaluationJob | bedrock 評価ジョブのリストをバッチ削除するためのアクセス許可を付与 | 書き込み | |||
| CreateAgent | DRAFT エージェントバージョンを指す新しいエージェントとテストエージェントのエイリアスを作成するアクセス許可を付与します | 書き込み | |||
| CreateAgentActionGroup | 既存のエージェントに新しいアクショングループを作成する許可を付与 | 書き込み | |||
| CreateAgentAlias | エージェントの新しいエイリアスを作成する許可を付与 | 書き込み | |||
| CreateDataSource | データソースを作成するアクセス許可を付与 | 書き込み | |||
| CreateEvaluationJob | 基盤モデルまたはカスタムモデルの評価ジョブを作成するためのアクセス許可を付与 | 書き込み | |||
| CreateFlow | プロンプトフローを作成するアクセス許可を付与 | 書き込み | |||
| CreateFlowAlias | プロンプトフローのエイリアスを作成するアクセス許可を付与します | 書き込み | |||
| CreateFlowVersion | プロンプトフローのイミュータブルバージョンを作成するアクセス許可を付与します | 書き込み | |||
| CreateFoundationModelAgreement | 新しい基盤モデル契約を作成する許可を付与 | 書き込み | |||
| CreateGuardrail | 新しいガードレールを作成するためのアクセス許可を付与 | 書き込み | |||
| CreateGuardrailVersion | 新しいガードレールバージョンを作成するためのアクセス許可を付与 | 書き込み | |||
| CreateKnowledgeBase | ナレッジベースを作成するためのアクセス許可を付与 | 書き込み | |||
| CreateModelCopyJob | リージョン間またはアカウント間でカスタムモデルをコピーするためのジョブを作成するアクセス許可を付与 | 書き込み | |||
| CreateModelCustomizationJob | カスタムトレーニングデータを使用してモデルをカスタマイズするジョブを作成するための許可を付与します | 書き込み | |||
| CreateModelEvaluationJob | 基盤モデルまたはカスタムモデルの評価ジョブを作成するためのアクセス許可を付与 | 書き込み | |||
| CreateModelImportJob | Bedrock にモデルをインポートするためのジョブを作成するアクセス許可を付与します | 書き込み | |||
| CreateModelInvocationJob | 新しいモデル呼び出しジョブを作成するためのアクセス許可を付与 | 書き込み | |||
| CreatePrompt | プロンプトを作成するアクセス許可を付与 | 書き込み | |||
| CreatePromptVersion | プロンプトのバージョンを作成するアクセス許可を付与します | 書き込み | |||
| CreateProvisionedModelThroughput | 新しいプロビジョニングされたモデルスループットを作成する許可を付与 | 書き込み | |||
| DeleteAgent | 以前に作成したエージェントを削除するためのアクセス許可を付与 | 書き込み | |||
| DeleteAgentActionGroup | 以前に作成した を削除するアクセス許可を付与 actionGroup します | 書き込み | |||
| DeleteAgentAlias | 以前に作成した を削除するアクセス許可を付与 AgentAlias します | 書き込み | |||
| DeleteAgentMemory | エイリアスの既存のメモリを削除するアクセス許可を付与します | 書き込み | |||
| DeleteAgentVersion | 以前に作成したエージェントバージョンを削除するためのアクセス許可を付与 | 書き込み | |||
| DeleteCustomModel | 以前に作成したカスタムモデルを削除するための許可を付与します | 書き込み | |||
| DeleteDataSource | データソースを削除するアクセス許可を付与 | 書き込み | |||
| DeleteFlow | プロンプトフローを削除するアクセス許可を付与します | 書き込み | |||
| DeleteFlowAlias | プロンプトフローのエイリアスを削除するアクセス許可を付与します | 書き込み | |||
| DeleteFlowVersion | プロンプトフローのバージョンを削除するアクセス許可を付与します | 書き込み | |||
| DeleteFoundationModelAgreement | 以前に作成した基盤モデル契約を削除する許可を付与 | 書き込み | |||
| DeleteGuardrail | ガードレールまたはそのバージョンを削除するためのアクセス許可を付与 | 書き込み | |||
| DeleteImportedModel | 以前に作成した Bedrock インポート済みモデルを削除するアクセス許可を付与 | 書き込み | |||
| DeleteKnowledgeBase | ナレッジベースを削除するためのアクセス許可を付与 | 書き込み | |||
| DeleteModelInvocationLoggingConfiguration | 既存の呼び出しログ記録設定を削除する許可を付与 | 書き込み | |||
| DeletePrompt | プロンプトまたはそのバージョンを削除するアクセス許可を付与します | 書き込み | |||
| DeleteProvisionedModelThroughput | 以前に作成したプロビジョニングされたモデルスループットを削除する許可を付与 | 書き込み | |||
| DeleteResourcePolicy[アクセス許可のみ] | 以前に作成した Bedrock リソースポリシーを削除します | 書き込み | |||
| DetectGeneratedContent | 提供されたコンテンツが Amazon Bedrock を使用して生成されたかどうかを検出するアクセス許可を付与します | 読み取り | |||
| DisassociateAgentKnowledgeBase | エージェントからナレッジベースの関連付けを解除する許可を付与 | 書き込み | |||
| GetAgent | 既存のエージェントを取得する許可を付与 | 読み取り | |||
| GetAgentActionGroup | 既存のアクショングループを取得する許可を付与 | 読み取り | |||
| GetAgentAlias | 既存のエイリアスを取得する許可を付与 | 読み取り | |||
| GetAgentKnowledgeBase | エージェントに関連付けられたナレッジベースを記述する許可を付与 | 読み取り | |||
| GetAgentMemory | エイリアスの既存のメモリを取得するアクセス許可を付与します | 読み取り | |||
| GetAgentVersion | エージェントの既存のバージョンを取得する許可を付与 | 読み取り | |||
| GetCustomModel | 作成した Bedrock カスタムモデルに関連付けられたプロパティを取得するための許可を付与します | 読み取り | |||
| GetDataSource | 既存のデータソースを取得する許可を付与 | 読み取り | |||
| GetEvaluationJob | 評価ジョブに関連付けられたプロパティを取得するアクセス許可を付与します。このオペレーションを使用して、評価ジョブのステータスを取得します。 | 読み取り | |||
| GetFlow | 既存のプロンプトフローを取得するアクセス許可を付与します | 読み取り | |||
| GetFlowAlias | プロンプトフローの既存のエイリアスを取得するアクセス許可を付与します | 読み取り | |||
| GetFlowVersion | プロンプトフローの既存のバージョンを取得するアクセス許可を付与します | 読み取り | |||
| GetFoundationModel | Bedrock の基盤モデルに関連付けられたプロパティを取得する許可を付与 | 読み取り | |||
| GetFoundationModelAvailability | 基盤モデルの可用性を取得する許可を付与 | 読み取り | |||
| GetGuardrail | ガードレールまたはそのバージョンを取得するためのアクセス許可を付与 | 読み取り | |||
| GetImportedModel | Bedrock がインポートしたモデルに関連付けられたプロパティを取得するアクセス許可を付与 | 読み取り | |||
| GetInferenceProfile | 推論プロファイルに関連付けられたプロパティを取得するアクセス許可を付与します | 読み取り | |||
| GetIngestionJob | 既存の取り込みジョブを取得する許可を付与 | 読み取り | |||
| GetKnowledgeBase | 既存のナレッジベースを取得する許可を付与 | 読み取り | |||
| GetModelCopyJob | モデルコピージョブに関連付けられたプロパティを取得するアクセス許可を付与します。このオペレーションを使用して、モデルコピージョブのステータスを取得します。 | 読み取り | |||
| GetModelCustomizationJob | モデルカスタマイズジョブに関連付けられたプロパティを取得するための許可を付与します。このオペレーションを使用して、モデルカスタマイズジョブのステータスを取得します | 読み取り | |||
| GetModelEvaluationJob | モデル評価ジョブに関連付けられたプロパティを取得するためのアクセス許可を付与 このオペレーションを使用して、モデル評価ジョブのステータスを取得します | 読み取り | |||
| GetModelImportJob | モデルインポートジョブに関連付けられたプロパティを取得するアクセス許可を付与し、モデルインポートジョブのステータスを取得するために使用されます。 | 読み取り | |||
| GetModelInvocationJob | モデル呼び出しジョブを取得するためのアクセス許可を付与 | 読み取り | |||
| GetModelInvocationLoggingConfiguration | 既存の呼び出しログ記録設定を取得するための許可を付与 | 読み取り | |||
| GetPrompt | 既存のプロンプトまたはそのバージョンを取得するアクセス許可を付与します | 読み取り | |||
| GetProvisionedModelThroughput | プロビジョニングされたモデルスループットを取得する許可を付与 | 読み取り | |||
| GetResourcePolicy[アクセス許可のみ] | Bedrock リソースのリソースポリシードキュメントを取得します | 読み取り | |||
| GetUseCaseForModelAccess | モデルアクセスのユースケースを取得する許可を付与 | 読み取り | |||
| InvokeAgent | ユーザー入力 (テキストのみ) を Bedrock のエージェントのエイリアスに送信する許可を付与 | 読み取り | |||
| InvokeBuilder[アクセス許可のみ] | サポートされている基盤リソースの構築に役立つ会話ビルダーを使用するアクセス許可を付与します | 書き込み | |||
| InvokeFlow | ユーザー入力でプロンプトフローを呼び出すアクセス許可を付与 | 読み取り | |||
| InvokeModel | リクエスト本文で提供された入力を使用して推論を実行するために、指定された Bedrock モデルを呼び出すための許可を付与します | 読み取り | |||
| InvokeModelWithResponseStream | ストリーミングレスポンスとともにリクエスト本文で提供された入力を使用して推論を実行するために、指定された Bedrock モデルを呼び出すための許可を付与します | 読み取り | |||
| ListAgentActionGroups | エージェント内のアクショングループを一覧表示する許可を付与 | リスト | |||
| ListAgentAliases | エージェントのエイリアスを一覧表示する許可を付与 | リスト | |||
| ListAgentKnowledgeBases | エージェントに関連付けられたナレッジベースを一覧表示する許可を付与 | リスト | |||
| ListAgentVersions | エージェントの既存のバージョンを一覧表示する許可を付与 | リスト | |||
| ListAgents | 既存のエージェントを一覧表示する許可を付与 | リスト | |||
| ListCustomModels | 作成した Bedrock カスタムモデルのリストを取得するための許可を付与します | リスト | |||
| ListDataSources | ナレッジベース内の既存のデータソースを一覧表示する許可を付与 | リスト | |||
| ListEvaluationJobs | 送信した評価ジョブのリストを取得するアクセス許可を付与します | リスト | |||
| ListFlowAliases | プロンプトフローの既存のエイリアスを一覧表示するアクセス許可を付与します | リスト | |||
| ListFlowVersions | プロンプトフローの既存のバージョンを一覧表示するアクセス許可を付与します | リスト | |||
| ListFlows | 既存のプロンプトフローを一覧表示するアクセス許可を付与 | リスト | |||
| ListFoundationModelAgreementOffers | 基盤モデル契約のオファーのリストを取得する許可を付与 | リスト | |||
| ListFoundationModels | 使用できる Bedrock の基盤モデルを一覧表示するための許可を付与します | リスト | |||
| ListGuardrails | ガードレールまたはそのバージョンを一覧表示するためのアクセス許可を付与 | リスト | |||
| ListImportedModels | Bedrock がインポートしたモデルのリストを取得するアクセス許可を付与 | リスト | |||
| ListInferenceProfiles | 使用できる推論プロファイルを一覧表示するアクセス許可を付与します | リスト | |||
| ListIngestionJobs | データソース内の取り込みジョブを一覧表示する許可を付与 | リスト | |||
| ListKnowledgeBases | 既存のナレッジベースを一覧表示する許可を付与 | リスト | |||
| ListModelCopyJobs | 送信したモデルコピージョブのリストを取得するアクセス許可を付与します | リスト | |||
| ListModelCustomizationJobs | 送信したモデルカスタマイズジョブのリストを取得するための許可を付与します | リスト | |||
| ListModelEvaluationJobs | 送信したモデル評価ジョブのリストを取得するためのアクセス許可を付与 | リスト | |||
| ListModelImportJobs | モデルインポートジョブのリストを取得するアクセス許可を付与 | リスト | |||
| ListModelInvocationJobs | 以前に作成したモデル呼び出しジョブを一覧表示するためのアクセス許可を付与 | リスト | |||
| ListPrompts | 既存のプロンプトを一覧表示するアクセス許可を付与 | リスト | |||
| ListProvisionedModelThroughputs | 以前に作成したプロビジョニングされたモデルスループットを一覧表示する許可を付与 | リスト | |||
| ListTagsForResource | Bedrock リソースのタグを一覧表示するための許可を付与します | 読み取り | |||
| PrepareAgent | ランタイムリクエストを受信する既存のエージェントを準備するためのアクセス許可を付与 | 書き込み | |||
| PrepareFlow | プロンプトフローに行われた最新の変更を適用して、実行時に反映するアクセス許可を付与します | 書き込み | |||
| PutFoundationModelEntitlement | 基盤モデルにアクセスするための使用権限を付与する許可を付与 | 書き込み | |||
| PutModelInvocationLoggingConfiguration | 既存の呼び出しログ記録設定を作成する許可を付与 | 書き込み | |||
| PutResourcePolicy[アクセス許可のみ] | Bedrock リソースのリソースポリシーを追加します | 書き込み | |||
| PutUseCaseForModelAccess | モデルアクセスのユースケースを提供する許可を付与 | 書き込み | |||
| Retrieve | ナレッジベースから取り込まれたデータを取得するためのアクセス許可を付与 | 読み取り | |||
| RetrieveAndGenerate | ユーザー入力を送信して取得と生成を実行するためのアクセス許可を付与 | 書き込み | |||
| StartIngestionJob | 取り込みジョブを開始する許可を付与 | 書き込み | |||
| StopEvaluationJob | 進行中の評価ジョブを停止するアクセス許可を付与 | 書き込み | |||
| StopIngestionJob | 取り込みジョブを停止するアクセス許可を付与 | 書き込み | |||
| StopModelCustomizationJob | 進行中の Bedrock モデルカスタマイズジョブを停止するための許可を付与します | 書き込み | |||
| StopModelInvocationJob | 以前に開始したモデル呼び出しジョブを停止するためのアクセス許可を付与 | 書き込み | |||
| TagResource | Bedrock リソースをタグ付けするための許可を付与します | タグ付け | |||
| UntagResource | Bedrock リソースのタグを解除するための許可を付与します | タグ付け | |||
| UpdateAgent | 既存のエージェントを更新する許可を付与 | 書き込み | |||
| UpdateAgentActionGroup | 既存のアクショングループを更新する許可を付与 | 書き込み | |||
| UpdateAgentAlias | 既存のエイリアスを更新する許可を付与 | 書き込み | |||
| UpdateAgentKnowledgeBase | エージェントに関連付けられたナレッジベースを更新する許可を付与 | 書き込み | |||
| UpdateDataSource | データソースを更新する権限を付与 | 書き込み | |||
| UpdateFlow | プロンプトフローを更新するアクセス許可を付与します | 書き込み | |||
| UpdateFlowAlias | プロンプトフローのエイリアスの設定を更新するアクセス許可を付与します | 書き込み | |||
| UpdateGuardrail | ガードレールを更新するためのアクセス許可を付与 | 書き込み | |||
| UpdateKnowledgeBase | ナレッジベースを更新する許可を付与 | 書き込み | |||
| UpdatePrompt | プロンプトを更新するアクセス許可を付与します | 書き込み | |||
| UpdateProvisionedModelThroughput | 以前に作成したプロビジョニングされたモデルスループットを更新する許可を付与 | 書き込み | |||
Amazon Bedrock によって定義されたリソースタイプ
次のリソースタイプは、このサービスによって定義され、IAMアクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| foundation-model |
arn:${Partition}:bedrock:${Region}::foundation-model/${ResourceId}
|
|
| inference-profile |
arn:${Partition}:bedrock:${Region}:${Account}:inference-profile/${ResourceId}
|
|
| custom-model |
arn:${Partition}:bedrock:${Region}:${Account}:custom-model/${ResourceId}
|
|
| provisioned-model |
arn:${Partition}:bedrock:${Region}:${Account}:provisioned-model/${ResourceId}
|
|
| model-customization-job |
arn:${Partition}:bedrock:${Region}:${Account}:model-customization-job/${ResourceId}
|
|
| agent |
arn:${Partition}:bedrock:${Region}:${Account}:agent/${AgentId}
|
|
| agent-alias |
arn:${Partition}:bedrock:${Region}:${Account}:agent-alias/${AgentId}/${AgentAliasId}
|
|
| knowledge-base |
arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/${KnowledgeBaseId}
|
|
| model-evaluation-job |
arn:${Partition}:bedrock:${Region}:${Account}:model-evaluation-job/${ResourceId}
|
|
| evaluation-job |
arn:${Partition}:bedrock:${Region}:${Account}:evaluation-job/${ResourceId}
|
|
| model-invocation-job |
arn:${Partition}:bedrock:${Region}:${Account}:model-invocation-job/${JobIdentifier}
|
|
| guardrail |
arn:${Partition}:bedrock:${Region}:${Account}:guardrail/${GuardrailId}
|
|
| flow |
arn:${Partition}:bedrock:${Region}:${Account}:flow/${FlowId}
|
|
| flow-alias |
arn:${Partition}:bedrock:${Region}:${Account}:flow/${FlowId}/alias/${FlowAliasId}
|
|
| model-copy-job |
arn:${Partition}:bedrock:${Region}:${Account}:model-copy-job/${ResourceId}
|
|
| prompt |
arn:${Partition}:bedrock:${Region}:${Account}:prompt/${PromptId}
|
|
| prompt-version |
arn:${Partition}:bedrock:${Region}:${Account}:prompt/${PromptId}:${PromptVersion}
|
|
| model-import-job |
arn:${Partition}:bedrock:${Region}:${Account}:model-import-job/${ResourceId}
|
|
| imported-model |
arn:${Partition}:bedrock:${Region}:${Account}:imported-model/${ResourceId}
|
Amazon Bedrock の条件キー
Amazon Bedrock は、IAMポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
| 条件キー | 説明 | [Type] (タイプ) |
|---|---|---|
| aws:RequestTag/${TagKey} | 必須の各タグで許可されている値のセットに基づく作成リクエストでアクセスをフィルタリングします | 文字列 |
| aws:ResourceTag/${TagKey} | リソースに関連付けられたタグ値に基づくアクションの有無でアクセスをフィルタリングします | 文字列 |
| aws:TagKeys | リクエスト内の必須のタグの存在に基づく作成リクエストでアクセスをフィルタリングします | ArrayOfString |
| bedrock:InferenceProfileArn | 指定された推論プロファイルでアクセスをフィルタリングします | ARN |
| bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn | サードパーティープラットフォームの認証情報 secretArn を含む でアクセスをフィルタリングします | ARN |
