Amazon Bedrock のアクション、リソース、条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Bedrock のアクション、リソース、条件キー

Amazon Bedrock (サービスプレフィックス: bedrock) には、IAM 許可ポリシーで使用できる次のサービス固有のリソース、アクション、条件コンテキストキーが用意されています。

リファレンス:

Amazon Bedrock によって定義されたアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AllowVendedLogDeliveryForResource [アクセス許可のみ] ナレッジベースの vended log 配信を設定する許可を付与する 権限の管理

knowledge-base

ApplyGuardrail ガードレールを適用する許可を付与する 読み取り

guardrail*

AssociateAgentCollaborator 別の既存のエージェントを共同作業者として既存のエージェントに関連付ける許可を付与 書き込み

agent*

AssociateAgentKnowledgeBase ナレッジベースをエージェントに関連付ける許可を付与 書き込み

agent*

knowledge-base*

AssociateThirdPartyKnowledgeBase [アクセス許可のみ] サードパーティのプラットフォームを使用してナレッジデータを保存する許可を付与 書き込み

bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn

BatchDeleteEvaluationJob bedrock 評価ジョブのリストをバッチ削除する許可を付与する 書き込み

evaluation-job*

CreateAgent ドラフトエージェントバージョンを指す新しいエージェントとテストエージェントのエイリアスを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAgentActionGroup 既存のエージェントに新しいアクショングループを作成する許可を付与 書き込み

agent*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAgentAlias エージェントの新しいエイリアスを作成する許可を付与 書き込み

agent*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateBlueprint データ自動化からのカスタム出力のブループリントを作成する許可を付与 書き込み
CreateBlueprintVersion 既存のブループリントの新しいバージョンを作成する許可を付与 書き込み

blueprint*

CreateDataAutomationProject データ自動化プロジェクトを作成する許可を付与 書き込み

blueprint

CreateDataSource データソースを作成するアクセス許可を付与 書き込み

knowledge-base*

CreateEvaluationJob 基盤モデルまたはカスタムモデルの評価ジョブを作成するためのアクセス許可を付与 書き込み

custom-model*

foundation-model*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFlow プロンプトフローを作成する許可を付与する 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFlowAlias プロンプトフローのエイリアスを作成する許可を付与する 書き込み

flow*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFlowVersion プロンプトフローのイミュータブルバージョンを作成する許可を付与する 書き込み

flow*

CreateFoundationModelAgreement 新しい基盤モデル契約を作成する許可を付与 書き込み
CreateGuardrail 新しいガードレールを作成するためのアクセス許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateGuardrailVersion 新しいガードレールバージョンを作成するためのアクセス許可を付与 書き込み

guardrail*

CreateInferenceProfile 推論プロファイルを作成する許可を付与 書き込み

application-inference-profile*

foundation-model*

inference-profile*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateKnowledgeBase ナレッジベースを作成するためのアクセス許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateMarketplaceModelEndpoint マーケットプレイスモデルエンドポイントを作成する許可を付与 書き込み
CreateModelCopyJob リージョン間またはアカウント間でカスタムモデルをコピーするためのジョブを作成する許可を付与する 書き込み

custom-model*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateModelCustomizationJob カスタムトレーニングデータを使用してモデルをカスタマイズするジョブを作成するための許可を付与します 書き込み

custom-model*

foundation-model*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateModelEvaluationJob 基盤モデルまたはカスタムモデルの評価ジョブを作成するためのアクセス許可を付与 書き込み

custom-model*

foundation-model*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateModelImportJob Bedrock にモデルをインポートするためのジョブを作成する許可を付与する 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateModelInvocationJob 新しいモデル呼び出しジョブを作成するためのアクセス許可を付与 書き込み

custom-model*

foundation-model*

model-invocation-job*

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePrompt プロンプトを作成する許可を付与する 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePromptVersion プロンプトのバージョンを作成する許可を付与する 書き込み

prompt*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateProvisionedModelThroughput 新しいプロビジョニングされたモデルスループットを作成する許可を付与 書き込み

custom-model*

foundation-model*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAgent 以前に作成したエージェントを削除するためのアクセス許可を付与 書き込み

agent*

DeleteAgentActionGroup 以前に作成したアクショングループを削除するためのアクセス許可を付与 書き込み

agent*

DeleteAgentAlias 以前に作成したエージェントエイリアスを削除するためのアクセス許可を付与 書き込み

agent-alias*

DeleteAgentMemory エイリアスの既存のメモリを削除する許可を付与する 書き込み

agent-alias*

DeleteAgentVersion 以前に作成したエージェントバージョンを削除するためのアクセス許可を付与 書き込み

agent*

DeleteBlueprint データ自動化のブループリントを削除する許可を付与 書き込み

blueprint*

DeleteCustomModel 以前に作成したカスタムモデルを削除するための許可を付与します 書き込み

custom-model*

DeleteDataAutomationProject データ自動化プロジェクトを削除する許可を付与 書き込み

data-automation-project*

DeleteDataSource データソースを削除するアクセス許可を付与 書き込み

knowledge-base*

DeleteFlow 保存されたプロンプトを削除するための許可を付与する 書き込み

flow*

DeleteFlowAlias プロンプトフローのエイリアスを削除する許可を付与する 書き込み

flow-alias*

DeleteFlowVersion プロンプトフローのバージョンを削除する許可を付与する 書き込み

flow*

DeleteFoundationModelAgreement 以前に作成した基盤モデル契約を削除する許可を付与 書き込み
DeleteGuardrail ガードレールまたはそのバージョンを削除するためのアクセス許可を付与 書き込み

guardrail*

DeleteImportedModel 以前に作成した Bedrock のインポート済みモデルを削除する許可を付与する 書き込み

imported-model*

DeleteInferenceProfile 推論プロファイルを削除する許可を付与 書き込み

application-inference-profile*

DeleteKnowledgeBase ナレッジベースを削除するためのアクセス許可を付与 書き込み

knowledge-base*

DeleteKnowledgeBaseDocuments ナレッジベースからドキュメントを削除する許可を付与 書き込み

knowledge-base*

DeleteMarketplaceModelAgreement bedrock Marketplace 対応 AWS マーケットプレイスモデルのサブスクリプションを解除する許可を付与 書き込み
DeleteMarketplaceModelEndpoint マーケットプレイスモデルエンドポイントを削除する許可を付与 書き込み

bedrock-marketplace-model-endpoint*

DeleteModelInvocationLoggingConfiguration 既存の呼び出しログ記録設定を削除する許可を付与 書き込み
DeletePrompt プロンプトまたはそのバージョンを削除する許可を付与する 書き込み

prompt*

prompt-version*

DeleteProvisionedModelThroughput 以前に作成したプロビジョニングされたモデルスループットを削除する許可を付与 書き込み

provisioned-model*

DeleteResourcePolicy [アクセス許可のみ] 以前に作成した Bedrock リソースポリシーを削除する 書き込み

custom-model*

DeregisterMarketplaceModelEndpoint Bedrock Marketplace で使用不可にするためにマーケットプレイスモデルエンドポイントを登録解除する許可を付与 書き込み

bedrock-marketplace-model-endpoint*

DetectGeneratedContent 提供されたコンテンツが Amazon Bedrock を使用して生成されたかどうかを検出する許可を付与する 読み取り

foundation-model*

DisassociateAgentCollaborator 以前に関連付けた共同作業者の関連付けを解除する許可を付与 書き込み

agent*

DisassociateAgentKnowledgeBase エージェントからナレッジベースの関連付けを解除する許可を付与 書き込み

agent*

knowledge-base*

GenerateQuery ユーザー入力に関連付けられたクエリを生成する許可を付与 読み取り
GetAgent 既存のエージェントを取得する許可を付与 読み取り

agent*

GetAgentActionGroup 既存のアクショングループを取得する許可を付与 読み取り

agent*

GetAgentAlias 既存のエイリアスを取得する許可を付与 読み取り

agent-alias*

GetAgentCollaborator 既存の共同作業者を取得する許可を付与 読み取り

agent*

GetAgentKnowledgeBase エージェントに関連付けられたナレッジベースを記述する許可を付与 読み取り

agent*

knowledge-base*

GetAgentMemory 既存のエイリアスのメモリを取得する許可を付与する 読み取り

agent-alias*

GetAgentVersion エージェントの既存のバージョンを取得する許可を付与 読み取り

agent*

GetAsyncInvoke 送信した非同期呼び出しに関連付けられたプロパティを取得する許可を付与 読み取り

async-invoke*

GetBlueprint データ自動化用の既存のブループリントを取得する許可を付与 読み取り

blueprint*

GetBlueprintRecommendation [アクセス許可のみ] ブループリントレコメンデーションを取得する許可を付与 読み取り
GetCustomModel 作成した Bedrock カスタムモデルに関連付けられたプロパティを取得するための許可を付与します 読み取り

custom-model*

GetDataAutomationProject 既存のデータ自動化プロジェクトを取得する許可を付与 読み取り

data-automation-project*

GetDataAutomationStatus データ自動化呼び出しジョブのステータスを取得する許可を付与 読み取り

data-automation-invocation-job*

GetDataSource 既存のデータソースを取得する許可を付与 読み取り

knowledge-base*

GetEvaluationJob 評価ジョブに関連付けられたプロパティを取得するための許可を付与します。このオペレーションを使用して、評価ジョブのステータスを取得する 読み取り

evaluation-job*

GetFlow 既存のプロンプトフローを取得する許可を付与する 読み取り

flow*

GetFlowAlias プロンプトフローの既存のエイリアスを取得する許可を付与する 読み取り

flow-alias*

GetFlowVersion プロンプトフローの既存のバージョンを取得する許可を付与する 読み取り

flow*

GetFoundationModel Bedrock の基盤モデルに関連付けられたプロパティを取得する許可を付与 読み取り

foundation-model*

GetFoundationModelAvailability 基盤モデルの可用性を取得する許可を付与 読み取り
GetGuardrail ガードレールまたはそのバージョンを取得するためのアクセス許可を付与 読み取り

guardrail*

GetImportedModel Bedrock のインポート済みモデルに関連付けられたプロパティを取得する許可を付与する 読み取り

imported-model*

GetInferenceProfile 推論プロファイルに関連付けられたプロパティを取得する許可を付与する 読み取り

application-inference-profile*

inference-profile*

GetIngestionJob 既存の取り込みジョブを取得する許可を付与 読み取り

knowledge-base*

GetKnowledgeBase 既存のナレッジベースを取得する許可を付与 読み取り

knowledge-base*

GetKnowledgeBaseDocuments ナレッジベースのドキュメントの詳細を取得する許可を付与 読み取り

knowledge-base*

GetMarketplaceModelEndpoint マーケットプレイスモデルエンドポイントのプロパティを取得する許可を付与 読み取り

bedrock-marketplace-model-endpoint*

GetModelCopyJob モデルコピージョブに関連付けられたプロパティを取得するための許可を付与します。このオペレーションを使用して、モデルコピージョブのステータスを取得する 読み取り

model-copy-job*

GetModelCustomizationJob モデルカスタマイズジョブに関連付けられたプロパティを取得するための許可を付与します。このオペレーションを使用して、モデルカスタマイズジョブのステータスを取得します 読み取り

model-customization-job*

GetModelEvaluationJob モデル評価ジョブに関連付けられたプロパティを取得するためのアクセス許可を付与 このオペレーションを使用して、モデル評価ジョブのステータスを取得します 読み取り

model-evaluation-job*

GetModelImportJob モデルインポートジョブに関連付けられたプロパティを取得する許可を付与し、モデルインポートジョブのステータスを取得するために使用する 読み取り

model-import-job*

GetModelInvocationJob モデル呼び出しジョブを取得するためのアクセス許可を付与 読み取り

model-invocation-job*

GetModelInvocationLoggingConfiguration 既存の呼び出しログ記録設定を取得するための許可を付与 読み取り
GetPrompt 既存のプロンプトまたはそのバージョンを取得する許可を付与する 読み取り

prompt*

prompt-version*

GetPromptRouter プロンプトルーターに関連付けられたプロパティを取得する許可を付与 読み取り

default-prompt-router*

GetProvisionedModelThroughput プロビジョニングされたモデルスループットを取得する許可を付与 読み取り

provisioned-model*

GetResourcePolicy [アクセス許可のみ] Bedrock リソースのリソースポリシードキュメントを取得する 読み取り

custom-model*

GetUseCaseForModelAccess モデルアクセスのユースケースを取得する許可を付与 読み取り
IngestKnowledgeBaseDocuments ナレッジベースにドキュメントを直接取り込む許可を付与 書き込み

knowledge-base*

InvokeAgent ユーザー入力 (テキストのみ) を Bedrock のエージェントのエイリアスに送信する許可を付与 読み取り

agent-alias*

InvokeBlueprintRecommendationAsync [アクセス許可のみ] ブループリントレコメンデーションを非同期的に呼び出す許可を付与 書き込み
InvokeBuilder [アクセス許可のみ] サポートされている Bedrock リソースの構築に役立つ会話ビルダーを使用する許可を付与する 書き込み
InvokeDataAutomationAsync Bedrock データ自動化ジョブを呼び出す許可を付与 書き込み

blueprint*

data-automation-project*

InvokeFlow ユーザー入力でプロンプトフローを呼び出す許可を付与する 読み取り

flow-alias*

InvokeInlineAgent Bedrock のインラインエージェントにユーザー入力 (テキストのみ) を送信する許可を付与 読み取り
InvokeModel リクエスト本文で提供された入力を使用して推論を実行するために、指定された Bedrock モデルを呼び出すための許可を付与します 読み取り

application-inference-profile*

async-invoke*

bedrock-marketplace-model-endpoint*

default-prompt-router*

foundation-model*

imported-model*

inference-profile*

provisioned-model*

bedrock:InferenceProfileArn

bedrock:PromptRouterArn

aws:RequestTag/${TagKey}

aws:TagKeys

InvokeModelWithResponseStream ストリーミングレスポンスとともにリクエスト本文で提供された入力を使用して推論を実行するために、指定された Bedrock モデルを呼び出すための許可を付与します 読み取り

application-inference-profile*

bedrock-marketplace-model-endpoint*

default-prompt-router*

foundation-model*

imported-model*

inference-profile*

provisioned-model*

bedrock:InferenceProfileArn

bedrock:PromptRouterArn

ListAgentActionGroups エージェント内のアクショングループを一覧表示する許可を付与 リスト

agent*

ListAgentAliases エージェントのエイリアスを一覧表示する許可を付与 リスト

agent*

ListAgentCollaborators エージェントの共同作業者を一覧表示する許可を付与 リスト

agent*

ListAgentKnowledgeBases エージェントに関連付けられたナレッジベースを一覧表示する許可を付与 リスト

agent*

ListAgentVersions エージェントの既存のバージョンを一覧表示する許可を付与 リスト

agent*

ListAgents 既存のエージェントを一覧表示する許可を付与 リスト
ListAsyncInvokes 送信した非同期呼び出しのリストを取得する許可を付与 リスト
ListBlueprints データ自動化の既存のブループリントを一覧表示する許可を付与 リスト

data-automation-project

ListCustomModels 作成した Bedrock カスタムモデルのリストを取得するための許可を付与します リスト
ListDataAutomationProjects 既存のデータ自動化プロジェクトを一覧表示する許可を付与 リスト

blueprint

ListDataSources ナレッジベース内の既存のデータソースを一覧表示する許可を付与 リスト

knowledge-base*

ListEvaluationJobs 送信した評価ジョブのリストを取得する許可を付与する リスト
ListFlowAliases プロンプトフローの既存のエイリアスを一覧表示する許可を付与する リスト

flow*

ListFlowVersions プロンプトフローの既存のバージョンを一覧表示する許可を付与する リスト

flow*

ListFlows 既存のプロンプトフローを一覧表示する許可を付与する リスト
ListFoundationModelAgreementOffers 基盤モデル契約のオファーのリストを取得する許可を付与 リスト
ListFoundationModels 使用できる Bedrock の基盤モデルを一覧表示するための許可を付与します リスト
ListGuardrails ガードレールまたはそのバージョンを一覧表示するためのアクセス許可を付与 リスト

guardrail

ListImportedModels Bedrock のインポート済みモデルのリストを取得する許可を付与する リスト
ListInferenceProfiles 使用できる推論プロファイルを一覧表示する許可を付与する リスト
ListIngestionJobs データソース内の取り込みジョブを一覧表示する許可を付与 リスト

knowledge-base*

ListKnowledgeBaseDocuments ナレッジベースのドキュメントを一覧表示する許可を付与 リスト

knowledge-base*

ListKnowledgeBases 既存のナレッジベースを一覧表示する許可を付与 リスト
ListMarketplaceModelEndpoints 使用できるマーケットプレイスモデルエンドポイントを一覧表示する許可を付与 読み取り
ListModelCopyJobs 送信したモデルコピージョブのリストを取得するための許可を付与する リスト
ListModelCustomizationJobs 送信したモデルカスタマイズジョブのリストを取得するための許可を付与します リスト
ListModelEvaluationJobs 送信したモデル評価ジョブのリストを取得するためのアクセス許可を付与 リスト
ListModelImportJobs モデルインポートジョブのリストを取得する許可を付与する リスト
ListModelInvocationJobs 以前に作成したモデル呼び出しジョブを一覧表示するためのアクセス許可を付与 リスト
ListPromptRouters 使用できるプロンプトルーターを一覧表示する許可を付与 リスト
ListPrompts 既存のプロンプトを一覧表示する許可を付与する リスト

prompt

ListProvisionedModelThroughputs 以前に作成したプロビジョニングされたモデルスループットを一覧表示する許可を付与 リスト
ListTagsForResource Bedrock リソースのタグを一覧表示するための許可を付与します 読み取り

agent*

agent-alias*

application-inference-profile*

async-invoke*

custom-model*

evaluation-job*

flow*

flow-alias*

guardrail*

imported-model*

knowledge-base*

model-copy-job*

model-customization-job*

model-evaluation-job*

model-import-job*

model-invocation-job*

prompt*

prompt-version*

provisioned-model*

OptimizePrompt ユーザー入力でプロンプトを最適化する許可を付与 読み取り
PrepareAgent ランタイムリクエストを受信する既存のエージェントを準備するためのアクセス許可を付与 書き込み

agent*

PrepareFlow プロンプトフローに行われた最新の変更を適用して、実行時に反映する許可を付与する 書き込み

flow*

PutFoundationModelEntitlement 基盤モデルにアクセスするための使用権限を付与する許可を付与 書き込み
PutModelInvocationLoggingConfiguration 既存の呼び出しログ記録設定を作成する許可を付与 書き込み
PutResourcePolicy [アクセス許可のみ] Bedrock リソースのリソースポリシーを追加する 書き込み

custom-model*

aws:RequestTag/${TagKey}

aws:TagKeys

PutUseCaseForModelAccess モデルアクセスのユースケースを提供する許可を付与 書き込み
RegisterMarketplaceModelEndpoint Sagemaker エンドポイントをマーケットプレイスモデルエンドポイントとして登録する許可を付与 書き込み

bedrock-marketplace-model-endpoint*

RenderPrompt [アクセス許可のみ] 既存のプロンプトまたはそのバージョンをレンダリングする許可を付与 読み取り

prompt*

prompt-version*

Rerank ユーザー入力に基づいてドキュメントをランク付けする許可を付与 書き込み
Retrieve ナレッジベースから取り込まれたデータを取得するためのアクセス許可を付与 読み取り

knowledge-base*

RetrieveAndGenerate ユーザー入力を送信して取得と生成を実行するためのアクセス許可を付与 書き込み
StartIngestionJob 取り込みジョブを開始する許可を付与 書き込み

knowledge-base*

StopEvaluationJob 進行中の評価ジョブを停止する許可を付与する 書き込み

evaluation-job*

StopIngestionJob 取り込みジョブを停止する許可を付与する 書き込み

knowledge-base*

StopModelCustomizationJob 進行中の Bedrock モデルカスタマイズジョブを停止するための許可を付与します 書き込み

model-customization-job*

StopModelInvocationJob 以前に開始したモデル呼び出しジョブを停止するためのアクセス許可を付与 書き込み

model-invocation-job*

TagResource Bedrock リソースをタグ付けするための許可を付与します Tagging

agent

agent-alias

application-inference-profile

async-invoke

custom-model

evaluation-job

flow

flow-alias

guardrail

imported-model

knowledge-base

model-copy-job

model-customization-job

model-evaluation-job

model-import-job

model-invocation-job

prompt

prompt-version

provisioned-model

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource Bedrock リソースのタグを解除するための許可を付与します Tagging

agent

agent-alias

application-inference-profile

async-invoke

custom-model

evaluation-job

flow

flow-alias

guardrail

imported-model

knowledge-base

model-copy-job

model-customization-job

model-evaluation-job

model-import-job

model-invocation-job

prompt

prompt-version

provisioned-model

aws:TagKeys

UpdateAgent 既存のエージェントを更新する許可を付与 書き込み

agent*

UpdateAgentActionGroup 既存のアクショングループを更新する許可を付与 書き込み

agent*

UpdateAgentAlias 既存のエイリアスを更新する許可を付与 書き込み

agent-alias*

UpdateAgentCollaborator 既存の共同作業者を更新する許可を付与 書き込み

agent*

UpdateAgentKnowledgeBase エージェントに関連付けられたナレッジベースを更新する許可を付与 書き込み

agent*

knowledge-base*

UpdateBlueprint データ自動化のブループリントを更新する許可を付与 書き込み

blueprint*

UpdateDataAutomationProject データ自動化プロジェクトを更新する許可を付与 書き込み

data-automation-project*

blueprint

UpdateDataSource データソースを更新する権限を付与 書き込み

knowledge-base*

UpdateFlow プロンプトフローを更新する許可を付与する 書き込み

flow*

UpdateFlowAlias プロンプトフローのエイリアスの設定を更新する許可を付与する 書き込み

flow-alias*

UpdateGuardrail ガードレールを更新するためのアクセス許可を付与 書き込み

guardrail*

UpdateKnowledgeBase ナレッジベースを更新する許可を付与 書き込み

knowledge-base*

UpdateMarketplaceModelEndpoint マーケットプレイスモデルエンドポイントを更新する許可を付与 書き込み

bedrock-marketplace-model-endpoint*

UpdatePrompt プロンプトを更新する許可を付与する 書き込み

prompt*

UpdateProvisionedModelThroughput 以前に作成したプロビジョニングされたモデルスループットを更新する許可を付与 書き込み

custom-model*

foundation-model*

provisioned-model*

ValidateFlowDefinition プロンプトフロー定義を検証する許可を付与 読み取り

Amazon Bedrock によって定義されたリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
foundation-model arn:${Partition}:bedrock:${Region}::foundation-model/${ResourceId}
async-invoke arn:${Partition}:bedrock:${Region}:${Account}:async-invoke/${ResourceId}

aws:ResourceTag/${TagKey}

inference-profile arn:${Partition}:bedrock:${Region}:${Account}:inference-profile/${ResourceId}
default-prompt-router arn:${Partition}:bedrock:${Region}:${Account}:default-prompt-router/${ResourceId}
application-inference-profile arn:${Partition}:bedrock:${Region}:${Account}:application-inference-profile/${ResourceId}

aws:ResourceTag/${TagKey}

custom-model arn:${Partition}:bedrock:${Region}:${Account}:custom-model/${ResourceId}

aws:ResourceTag/${TagKey}

provisioned-model arn:${Partition}:bedrock:${Region}:${Account}:provisioned-model/${ResourceId}

aws:ResourceTag/${TagKey}

model-customization-job arn:${Partition}:bedrock:${Region}:${Account}:model-customization-job/${ResourceId}

aws:ResourceTag/${TagKey}

agent arn:${Partition}:bedrock:${Region}:${Account}:agent/${AgentId}

aws:ResourceTag/${TagKey}

agent-alias arn:${Partition}:bedrock:${Region}:${Account}:agent-alias/${AgentId}/${AgentAliasId}

aws:ResourceTag/${TagKey}

knowledge-base arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/${KnowledgeBaseId}

aws:ResourceTag/${TagKey}

model-evaluation-job arn:${Partition}:bedrock:${Region}:${Account}:model-evaluation-job/${ResourceId}

aws:ResourceTag/${TagKey}

evaluation-job arn:${Partition}:bedrock:${Region}:${Account}:evaluation-job/${ResourceId}

aws:ResourceTag/${TagKey}

model-invocation-job arn:${Partition}:bedrock:${Region}:${Account}:model-invocation-job/${JobIdentifier}

aws:ResourceTag/${TagKey}

guardrail arn:${Partition}:bedrock:${Region}:${Account}:guardrail/${GuardrailId}

aws:ResourceTag/${TagKey}

flow arn:${Partition}:bedrock:${Region}:${Account}:flow/${FlowId}

aws:ResourceTag/${TagKey}

flow-alias arn:${Partition}:bedrock:${Region}:${Account}:flow/${FlowId}/alias/${FlowAliasId}

aws:ResourceTag/${TagKey}

model-copy-job arn:${Partition}:bedrock:${Region}:${Account}:model-copy-job/${ResourceId}

aws:ResourceTag/${TagKey}

prompt arn:${Partition}:bedrock:${Region}:${Account}:prompt/${PromptId}

aws:ResourceTag/${TagKey}

prompt-version arn:${Partition}:bedrock:${Region}:${Account}:prompt/${PromptId}:${PromptVersion}

aws:ResourceTag/${TagKey}

model-import-job arn:${Partition}:bedrock:${Region}:${Account}:model-import-job/${ResourceId}

aws:ResourceTag/${TagKey}

imported-model arn:${Partition}:bedrock:${Region}:${Account}:imported-model/${ResourceId}

aws:ResourceTag/${TagKey}

bedrock-marketplace-model-endpoint arn:${Partition}:bedrock:${Region}:${Account}:marketplace/model-endpoint/all-access
data-automation-project arn:${Partition}:bedrock:${Region}:${Account}:data-automation-project/${ProjectId}
blueprint arn:${Partition}:bedrock:${Region}:${Account}:blueprint/${BlueprintId}
data-automation-invocation-job arn:${Partition}:bedrock:${Region}:${Account}:data-automation-invocation/${JobId}

Amazon Bedrock の条件キー

Amazon Bedrock では、IAM ポリシーの Condition 要素で使用できる次の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 [Type] (タイプ)
aws:RequestTag/${TagKey} 必須の各タグで許可されている値のセットに基づく作成リクエストでアクセスをフィルタリングします String
aws:ResourceTag/${TagKey} リソースに関連付けられたタグ値に基づくアクションの有無でアクセスをフィルタリングします String
aws:TagKeys リクエスト内の必須のタグの存在に基づく作成リクエストでアクセスをフィルタリングします ArrayOfString
bedrock:InferenceProfileArn 指定された推論プロファイルによってアクセスをフィルタリングする ARN
bedrock:PromptRouterArn 指定されたプロンプトルーターでアクセスをフィルタリングします ARN
bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn サードパーティのプラットフォームの認証情報を含む secretArn でアクセスをフィルタリングします ARN