As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS políticas gerenciadas para Amazon Bedrock
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que forneçam à sua equipe apenas as permissões de que ela precisa. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre políticas AWS gerenciadas, consulte políticas AWS gerenciadas no Guia IAM do usuário.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte políticas AWS gerenciadas para funções de trabalho no Guia IAM do usuário.
Tópicos
AWS política gerenciada: AmazonBedrockFullAccess
É possível anexar a política AmazonBedrockFullAccess às suas identidades do IAM.
Essa política concede permissões administrativas que permitem que o usuário crie, leia, atualize e exclua recursos do Amazon Bedrock.
nota
O ajuste e o acesso a modelos exigem permissões adicionais. Consulte Permitir acesso a assinaturas de modelo de terceiros e Permissões para acessar arquivos de treinamento e de validação e gravar os arquivos de saída no S3 para obter mais informações.
Detalhes de permissões
Esta política inclui as seguintes permissões:
-
ec2(Amazon Elastic Compute Cloud) — Permite permissões para descreverVPCs, sub-redes e grupos de segurança. -
iam(AWS Identity and Access Management) — Permite que diretores passem funções, mas só permite que IAM funções com “Amazon Bedrock” sejam passadas para o serviço Amazon Bedrock. As permissões são restritas abedrock.amazonaws.com.rproxy.goskope.compara operações do Amazon Bedrock. -
kms(Serviço de gerenciamento de AWS chaves) — Permite que os diretores descrevam AWS KMS chaves e aliases. -
bedrock(Amazon Bedrock): permite que as entidades principais tenham acesso de leitura e gravação a todas as ações no ambiente de gerenciamento e no serviço de runtime do Amazon Bedrock. -
sagemaker(Amazon SageMaker AI) — Permite que os diretores acessem os recursos de SageMaker IA da Amazon na conta do cliente, que serve como base para o recurso Amazon Bedrock Marketplace.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BedrockAll", "Effect": "Allow", "Action": [ "bedrock:*" ], "Resource": "*" }, { "Sid": "DescribeKey", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:*:kms:*:::*" }, { "Sid": "APIsWithAllResourceAccess", "Effect": "Allow", "Action": [ "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "MarketplaceModelEndpointMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:DeleteEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com", "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible" } } }, { "Sid": "MarketplaceModelEndpointAddTagsOperations", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "sagemaker-sdk:bedrock", "bedrock:marketplace-registration-status", "sagemaker-studio:hub-content-arn" ] }, "StringLike": { "aws:RequestTag/sagemaker-sdk:bedrock": "compatible", "aws:RequestTag/bedrock:marketplace-registration-status": "registered", "aws:RequestTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*" } } }, { "Sid": "MarketplaceModelEndpointDeleteTagsOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "sagemaker-sdk:bedrock", "bedrock:marketplace-registration-status", "sagemaker-studio:hub-content-arn" ] }, "StringLike": { "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible", "aws:ResourceTag/bedrock:marketplace-registration-status": "registered", "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*" } } }, { "Sid": "MarketplaceModelEndpointNonMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "MarketplaceModelEndpointInvokingOperations", "Effect": "Allow", "Action": [ "sagemaker:InvokeEndpoint", "sagemaker:InvokeEndpointWithResponseStream" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com", "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible" } } }, { "Sid": "DiscoveringMarketplaceModel", "Effect": "Allow", "Action": [ "sagemaker:DescribeHubContent" ], "Resource": [ "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*", "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" ] }, { "Sid": "AllowMarketplaceModelsListing", "Effect": "Allow", "Action": [ "sagemaker:ListHubContents" ], "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" }, { "Sid": "PassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*SageMaker*ForBedrock*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "bedrock.amazonaws.com" ] } } }, { "Sid": "PassRoleToBedrock", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonBedrock*", "Condition": { "StringEquals": { "iam:PassedToService": [ "bedrock.amazonaws.com" ] } } } ] }
AWS política gerenciada: AmazonBedrockReadOnly
É possível anexar a política AmazonBedrockReadOnly às suas identidades do IAM.
Essa política concede permissões de acesso somente leitura que permitem que os usuários visualizem todos os recursos no Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonBedrockReadOnly", "Effect": "Allow", "Action": [ "bedrock:Get*", "bedrock:List*" ], "Resource": "*" }, { "Sid": "MarketplaceModelEndpointNonMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeInferenceComponent", "sagemaker:ListEndpoints", "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "DiscoveringMarketplaceModel", "Effect": "Allow", "Action": [ "sagemaker:DescribeHubContent" ], "Resource": [ "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*", "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" ] }, { "Sid": "AllowMarketplaceModelsListing", "Effect": "Allow", "Action": [ "sagemaker:ListHubContents" ], "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" } ] }
AWS política gerenciada: AmazonBedrockStudioPermissionsBoundary
nota
Esta política é um limite de permissões. Um limite de permissões define as permissões máximas que uma política baseada em identidade pode conceder a um diretor. IAM Não use e anexe as políticas de limite de permissões do Amazon Bedrock Studio por conta própria. As políticas de limite de permissões do Amazon Bedrock Studio só devem ser anexadas aos perfis gerenciados pelo Amazon Bedrock Studio. Para obter mais informações sobre limites de permissões, consulte Limites de permissões para IAM entidades no Guia IAM do usuário.
-
A versão atual do Amazon Bedrock Studio continua esperando que uma política semelhante
AmazonDataZoneBedrockPermissionsBoundaryexista em sua AWS conta. Para obter mais informações, consulte Etapa 2: criar limite de permissões, perfil de serviço e perfil de provisionamento.
Quando você cria projetos, aplicativos e componentes do Amazon Bedrock Studio, o Amazon Bedrock Studio aplica esse limite de permissões às IAM funções produzidas ao criar esses recursos.
O Amazon Bedrock Studio usa a política AmazonBedrockStudioPermissionsBoundary gerenciada para limitar as permissões do IAM principal provisionado ao qual ela está vinculada. Os diretores podem assumir a forma das funções de usuário que a Amazon DataZone pode assumir em nome dos usuários do Amazon Bedrock Studio e, em seguida, realizar ações como ler e gravar objetos do Amazon S3 ou invocar agentes do Amazon Bedrock.
A AmazonBedrockStudioPermissionsBoundary política concede acesso de leitura e gravação para o Amazon Bedrock Studio a serviços como Amazon S3, Amazon Bedrock, OpenSearch Amazon Serverless e. AWS Lambda A política também concede permissões de leitura e gravação para alguns recursos de infraestrutura necessários para usar esses serviços, como AWS segredos do Secrets Manager, grupos de CloudWatch log e AWS KMS chaves da Amazon.
Essa política consiste nos conjuntos de permissões a seguir.
s3: permite acesso de leitura e gravação a objetos em buckets do Amazon S3 que são gerenciados pelo Amazon Bedrock Studio.bedrock: permite usar agentes, bases de conhecimento e barreiras de proteção do Amazon Bedrock gerenciados pelo Amazon Bedrock Studio.aoss— Permite API acesso às coleções Amazon OpenSearch Serverless que são gerenciadas pelo Amazon Bedrock Studio.lambda— Concede a capacidade de invocar AWS Lambda funções gerenciadas pelo Amazon Bedrock Studio.secretsmanager— Permite acesso de leitura e gravação aos AWS segredos do Secrets Manager que são gerenciados pelo Amazon Bedrock Studio.logs— Fornece acesso de gravação aos Amazon CloudWatch Logs que são gerenciados pelo Amazon Bedrock Studio.kms— Concede acesso para usar AWS chaves para criptografar dados do Amazon Bedrock Studio.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessS3Buckets", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListBucketVersions", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:DeleteObjectVersion" ], "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AccessOpenSearchCollections", "Effect": "Allow", "Action": "aoss:APIAccessAll", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "InvokeBedrockModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "arn:aws:bedrock:*::foundation-model/*" }, { "Sid": "AccessBedrockResources", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent", "bedrock:Retrieve", "bedrock:StartIngestionJob", "bedrock:GetIngestionJob", "bedrock:ListIngestionJobs", "bedrock:ApplyGuardrail", "bedrock:ListPrompts", "bedrock:GetPrompt", "bedrock:CreatePrompt", "bedrock:DeletePrompt", "bedrock:CreatePromptVersion", "bedrock:InvokeFlow", "bedrock:ListTagsForResource", "bedrock:TagResource", "bedrock:UntagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "RetrieveAndGenerate", "Effect": "Allow", "Action": "bedrock:RetrieveAndGenerate", "Resource": "*" }, { "Sid": "WriteLogs", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "InvokeLambdaFunctions", "Effect": "Allow", "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:*:*:function:br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "AccessSecretsManagerSecrets", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "UseKmsKeyWithBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "Null": { "kms:EncryptionContext:aws:bedrock:arn": "false" } } }, { "Sid": "UseKmsKeyWithAwsServices", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com", "secretsmanager.*.amazonaws.com" ] } } } ] }
Atualizações do Amazon Bedrock para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Bedrock desde que esse serviço começou a monitorar essas mudanças. Para alertas automáticos sobre alterações nesta página, assine o RSS feed noHistórico de documentos do Guia do usuário do Amazon Bedrock.
| Alteração | Descrição | Data |
|---|---|---|
|
AmazonBedrockFullAccess: política atualizada |
O Amazon Bedrock atualizou a política AmazonBedrockFullAccess gerenciada para conceder aos clientes as permissões necessárias para criar, ler, atualizar e excluir recursos do Amazon Bedrock Marketplace. Isso inclui permissões para gerenciar os recursos subjacentes de SageMaker IA da Amazon, pois eles servem como base para a funcionalidade do Amazon Bedrock Marketplace. |
4 de dezembro de 2024 |
|
AmazonBedrockReadOnly: política atualizada |
O Amazon Bedrock atualizou a política AmazonBedrockReadOnly gerenciada para conceder aos clientes as permissões necessárias para ler os recursos do Amazon Bedrock Marketplace. Isso inclui permissões para gerenciar os recursos subjacentes de SageMaker IA da Amazon, pois eles servem como base para a funcionalidade do Amazon Bedrock Marketplace. |
4 de dezembro de 2024 |
|
AmazonBedrockReadOnly: política atualizada |
O Amazon Bedrock atualizou a AmazonBedrockReadOnly política para incluir permissões somente de leitura para importação de modelos personalizados. |
18 de outubro de 2024 |
|
AmazonBedrockReadOnly: política atualizada |
O Amazon Bedrock adicionou permissões somente leitura ao perfil de inferência. |
27 de agosto de 2024 |
|
AmazonBedrockReadOnly: política atualizada |
O Amazon Bedrock atualizou a AmazonBedrockReadOnly política para incluir permissões somente de leitura para o Amazon Bedrock Guardrails, a avaliação do Amazon Bedrock Model e a inferência do Amazon Bedrock Batch. |
21 de agosto de 2024 |
|
AmazonBedrockReadOnly: política atualizada |
O Amazon Bedrock adicionou permissões somente leitura de inferência em lote (trabalho de invocação de modelo). |
21 de agosto de 2024 |
|
AmazonBedrockStudioPermissionsBoundary – Nova política |
O Amazon Bedrock publicou a primeira versão dessa política. |
31 de julho de 2024 |
|
AmazonBedrockReadOnly: política atualizada |
O Amazon Bedrock atualizou a AmazonBedrockReadOnly política para incluir permissões somente de leitura para o Amazon Bedrock Custom Model Import. |
3 de setembro de 2024 |
|
AmazonBedrockFullAccess – Nova política |
O Amazon Bedrock adicionou uma nova política para conceder aos usuários permissões para criar, ler, atualizar e excluir recursos. |
12 de dezembro de 2023 |
|
AmazonBedrockReadOnly – Nova política |
O Amazon Bedrock adicionou uma nova política para conceder aos usuários permissões somente leitura para todas as ações. |
12 de dezembro de 2023 |
|
O Amazon Bedrock passou a controlar alterações |
O Amazon Bedrock começou a monitorar as mudanças em suas políticas AWS gerenciadas. |
12 de dezembro de 2023 |
