AWS políticas gerenciadas para o Amazon Bedrock - Amazon Bedrock
AmazonBedrockFullAccessAmazonBedrockReadOnlyAmazonBedrockStudioPermissionsBoundaryAtualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para o Amazon Bedrock

Para adicionar permissões a usuários, grupos e funções, é mais fácil de usar AWS políticas gerenciadas do que escrever políticas você mesmo. É preciso tempo e experiência para criar políticas gerenciadas pelo IAM cliente que forneçam à sua equipe somente as permissões necessárias. Para começar rapidamente, você pode usar nosso AWS políticas gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis em Conta da AWS. Para obter mais informações sobre AWS políticas gerenciadas, consulte AWS políticas gerenciadas no Guia IAM do usuário.

AWS manutenção e atualização de serviços AWS políticas gerenciadas. Você não pode alterar as permissões no AWS políticas gerenciadas. Ocasionalmente, os serviços adicionam permissões adicionais a um AWS política gerenciada para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem um AWS política gerenciada quando um novo recurso é lançado ou quando novas operações são disponibilizadas. Os serviços não removem permissões de um AWS política gerenciada, para que as atualizações de políticas não violem suas permissões existentes.

Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, o ReadOnlyAccess AWS a política gerenciada fornece acesso somente de leitura a todos AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte AWS políticas gerenciadas para funções de trabalho no Guia IAM do usuário.

AWS política gerenciada: AmazonBedrockFullAccess

Você pode anexar a AmazonBedrockFullAccess política às suas IAM identidades.

Essa política concede permissões administrativas que permitem que o usuário crie, leia, atualize e exclua recursos do Amazon Bedrock.

nota

O ajuste fino e o acesso a modelos exigem permissões extras. Consulte Permitir acesso a assinaturas de modelos de terceiros e Permissões para acessar arquivos de treinamento e validação e para gravar arquivos de saída no S3 para obter mais informações.

Detalhes de permissão

Esta política inclui as seguintes permissões:

  • ec2(Amazon Elastic Compute Cloud) — Permite permissões para descreverVPCs, sub-redes e grupos de segurança.

  • iam (AWS Identity and Access Management) — Permite que diretores passem funções, mas só permite que IAM funções com “Amazon Bedrock” sejam passadas para o serviço Amazon Bedrock. As permissões são restritas a bedrock.amazonaws.com para operações do Amazon Bedrock.

  • kms (AWS Key Management Service) — Permite que os diretores descrevam AWS KMS chaves e aliases.

  • bedrock (Amazon Bedrock): permite que as entidades principais tenham acesso de leitura e gravação a todas as ações no ambiente de gerenciamento e no serviço de runtime do Amazon Bedrock. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "BedrockAll",
            "Effect": "Allow",
            "Action": [
                "bedrock:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DescribeKey",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:*:kms:*:::*"
        },
        {
            "Sid": "APIsWithAllResourceAccess",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PassRoleToBedrock",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*AmazonBedrock*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "bedrock.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AWS política gerenciada: AmazonBedrockReadOnly

Você pode anexar a AmazonBedrockReadOnly política às suas IAM identidades.

Essa política concede permissões de acesso somente leitura que permitem que os usuários visualizem todos os recursos no Amazon Bedrock.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonBedrockReadOnly",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetFoundationModel",
                "bedrock:ListFoundationModels",
                "bedrock:ListTagsForResource",
                "bedrock:GetFoundationModelAvailability",
                "bedrock:GetModelInvocationLoggingConfiguration",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:ListProvisionedModelThroughputs",
                "bedrock:GetModelCustomizationJob",
                "bedrock:ListModelCustomizationJobs",
                "bedrock:ListCustomModels",
                "bedrock:GetCustomModel",
                "bedrock:GetModelInvocationJob",
                "bedrock:ListModelInvocationJobs",
                "bedrock:GetGuardrail",
                "bedrock:ListGuardrails",
                "bedrock:GetEvaluationJob",
                "bedrock:ListEvaluationJobs",
                "bedrock:GetInferenceProfile",
                "bedrock:ListInferenceProfiles"
            ],
            "Resource": "*"
        }
    ]
}

AWS política gerenciada: AmazonBedrockStudioPermissionsBoundary

nota

  • Esta política é um limite de permissões. Um limite de permissões define as permissões máximas que uma política baseada em identidade pode conceder a um diretor. IAM Você não deve usar e anexar as políticas de limite de permissões do Amazon Bedrock Studio sozinho. As políticas de limite de permissões do Amazon Bedrock Studio só devem ser anexadas às funções gerenciadas do Amazon Bedrock Studio. Para obter mais informações sobre limites de permissões, consulte Limites de permissões para IAM entidades no Guia IAM do usuário.

  • A versão atual do Amazon Bedrock Studio continua esperando que uma política semelhante chamada AmazonDataZoneBedrockPermissionsBoundary exista em seu AWS conta. Para obter mais informações, consulte Etapa 2: criar limite de permissões, função de serviço e função de provisionamento.

Quando você cria projetos, aplicativos e componentes do Amazon Bedrock Studio, o Amazon Bedrock Studio aplica esse limite de permissões às IAM funções produzidas ao criar esses recursos.

O Amazon Bedrock Studio usa a política AmazonBedrockStudioPermissionsBoundary gerenciada para limitar as permissões do IAM principal provisionado ao qual ela está vinculada. Os diretores podem assumir a forma das funções de usuário que a Amazon DataZone pode assumir em nome dos usuários do Amazon Bedrock Studio e, em seguida, realizar ações como ler e gravar objetos do Amazon S3 ou invocar agentes do Amazon Bedrock.

A AmazonBedrockStudioPermissionsBoundary política concede acesso de leitura e gravação para o Amazon Bedrock Studio a serviços como Amazon S3, Amazon Bedrock, OpenSearch Amazon Serverless e AWS Lambda. A política também concede permissões de leitura e gravação para alguns recursos de infraestrutura necessários para usar esses serviços, como AWS segredos do Secrets Manager, grupos de CloudWatch log da Amazon e AWS KMS chaves.

Essa política consiste nos seguintes conjuntos de permissões.

  • s3— Permite acesso de leitura e gravação a objetos nos buckets do Amazon S3 que são gerenciados pelo Amazon Bedrock Studio.

  • bedrock— Concede a capacidade de usar agentes, bases de conhecimento e grades de proteção do Amazon Bedrock que são gerenciados pelo Amazon Bedrock Studio.

  • aoss— Permite API acesso às coleções Amazon OpenSearch Serverless que são gerenciadas pelo Amazon Bedrock Studio.

  • lambda— Concede a capacidade de invocar AWS Lambda funções que são gerenciadas pelo Amazon Bedrock Studio.

  • secretsmanager— Permite acesso de leitura e gravação aos AWS segredos do Secrets Manager que são gerenciados pelo Amazon Bedrock Studio.

  • logs— Fornece acesso de gravação aos Amazon CloudWatch Logs que são gerenciados pelo Amazon Bedrock Studio.

  • kms— Concede acesso ao uso AWS chaves para criptografar dados do Amazon Bedrock Studio.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AccessS3Buckets",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion"
            ],
            "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AccessOpenSearchCollections",
            "Effect": "Allow",
            "Action": "aoss:APIAccessAll",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "InvokeBedrockModels",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": "arn:aws:bedrock:*::foundation-model/*"
        },
        {
            "Sid": "AccessBedrockResources",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent",
                "bedrock:Retrieve",
                "bedrock:StartIngestionJob",
                "bedrock:GetIngestionJob",
                "bedrock:ListIngestionJobs",
                "bedrock:ApplyGuardrail",
                "bedrock:ListPrompts",
                "bedrock:GetPrompt",
                "bedrock:CreatePrompt",
                "bedrock:DeletePrompt",
                "bedrock:CreatePromptVersion",
                "bedrock:InvokeFlow",
                "bedrock:ListTagsForResource",
                "bedrock:TagResource",
                "bedrock:UntagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/AmazonBedrockManaged": "true"
                },
                "Null": {
                    "aws:ResourceTag/AmazonDataZoneProject": "false"
                }
            }
        },
        {
            "Sid": "RetrieveAndGenerate",
            "Effect": "Allow",
            "Action": "bedrock:RetrieveAndGenerate",
            "Resource": "*"
        },
        {
            "Sid": "WriteLogs",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/AmazonBedrockManaged": "true"
                },
                "Null": {
                    "aws:ResourceTag/AmazonDataZoneProject": "false"
                }
            }
        },
        {
            "Sid": "InvokeLambdaFunctions",
            "Effect": "Allow",
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:*:*:function:br-studio-*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/AmazonBedrockManaged": "true"
                },
                "Null": {
                    "aws:ResourceTag/AmazonDataZoneProject": "false"
                }
            }
        },
        {
            "Sid": "AccessSecretsManagerSecrets",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:PutSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/AmazonBedrockManaged": "true"
                },
                "Null": {
                    "aws:ResourceTag/AmazonDataZoneProject": "false"
                }
            }
        },
        {
            "Sid": "UseKmsKeyWithBedrock",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/EnableBedrock": "true"
                },
                "Null": {
                    "kms:EncryptionContext:aws:bedrock:arn": "false"
                }
            }
        },
        {
            "Sid": "UseKmsKeyWithAwsServices",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/EnableBedrock": "true"
                },
                "StringLike": {
                    "kms:ViaService": [
                        "s3.*.amazonaws.com",
                        "secretsmanager.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Atualizações do Amazon Bedrock para AWS políticas gerenciadas

Exibir detalhes sobre as atualizações do AWS gerenciei políticas para o Amazon Bedrock desde que esse serviço começou a rastrear essas mudanças. Para alertas automáticos sobre alterações nesta página, assine o RSS feed noHistórico de documentos do Guia do usuário do Amazon Bedrock.

Alteração Descrição Data

AmazonBedrockReadOnly— Política atualizada

O Amazon Bedrock adicionou permissões somente para leitura do perfil de inferência.

 27 de agosto de 2024

AmazonBedrockReadOnly— Política atualizada

O Amazon Bedrock atualizou a AmazonBedrockReadOnly política para incluir permissões somente de leitura para o Amazon Bedrock Guardrails, a avaliação do Amazon Bedrock Model e a inferência do Amazon Bedrock Batch.

 21 de agosto de 2024

AmazonBedrockReadOnly— Política atualizada

O Amazon Bedrock adicionou permissões somente para leitura de inferência em lote (trabalho de invocação de modelo).

 21 de agosto de 2024

AmazonBedrockStudioPermissionsBoundary— Nova política

A Amazon Bedrock publicou a primeira versão dessa política.

 31 de julho de 2024

AmazonBedrockFullAccess— Nova política

O Amazon Bedrock adicionou uma nova política para conceder aos usuários permissões para criar, ler, atualizar e excluir recursos.

 12 de dezembro de 2023

AmazonBedrockReadOnly— Nova política

O Amazon Bedrock adicionou uma nova política para conceder aos usuários permissões somente leitura para todas as ações.

 12 de dezembro de 2023

O Amazon Bedrock passou a controlar alterações

O Amazon Bedrock começou a rastrear mudanças em seu AWS políticas gerenciadas.

 12 de dezembro de 2023