Amazon Bedrock 的操作、资源和条件键 - 服务授权参考

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Bedrock 的操作、资源和条件键

Amazon Bedrock(服务前缀:bedrock)提供以下特定于服务的资源、操作和条件上下文密钥,供在IAM权限策略中使用。

参考:

Amazon Bedrock 定义的操作

您可以在IAM策略声明的Action元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。当您在策略中使用操作时,通常会允许或拒绝访问具有相同名称的API操作或CLI命令。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。如果该列包含资源类型,则可以在带有该操作ARN的语句中指定该类型的资源类型。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您使用IAM策略中的Resource元素限制资源访问权限,则必须为每种必需的资源类型包含ARN或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AllowVendedLogDeliveryForResource[仅权限] 授予权限以为知识库配置发布的日志传输 权限管理

knowledge-base

ApplyGuardrail 授予权限以应用护栏 读取

guardrail*

AssociateAgentKnowledgeBase 授予将知识库与代理关联的权限 写入

agent*

knowledge-base*

AssociateThirdPartyKnowledgeBase[仅权限] 授予使用第三方平台存储知识数据的权限 写入

bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn

BatchDeleteEvaluationJob 授予权限以批量删除 Bedrock 评估作业列表 写入

evaluation-job*

CreateAgent 授予创建新代理和指向代理版本的测试DRAFT代理别名的权限 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAgentActionGroup 授予在现有代理中创建新操作组的权限 写入

agent*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAgentAlias 授予为代理创建新别名的权限 写入

agent*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDataSource 授予创建数据源的权限 写入

knowledge-base*

CreateEvaluationJob 授予为评估基础模型或自定义模型创建作业的权限 写入

custom-model*

foundation-model*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFlow 授予权限以创建提示流 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFlowAlias 授予权限以创建提示流别名 写入

flow*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFlowVersion 授予权限以创建提示流的不可变版本 写入

flow*

CreateFoundationModelAgreement 授予创建新的基础模型协议的权限 写入
CreateGuardrail 授予创建新防护机制的权限 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateGuardrailVersion 授予创建新防护机制版本的权限 写入

guardrail*

CreateInferenceProfile 授予创建推理配置文件的权限 写入

application-inference-profile*

foundation-model*

inference-profile*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateKnowledgeBase 授予权限以创建知识库 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateModelCopyJob 授予权限以创建作业,以跨区域或跨账户复制自定义模型 写入

custom-model*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateModelCustomizationJob 授予权限以创建任务,以使用您的自定义训练数据自定义模型 写入

custom-model*

foundation-model*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateModelEvaluationJob 授予为评估基础模型或自定义模型创建作业的权限 写入

custom-model*

foundation-model*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateModelImportJob 授予权限以创建作业,将模型导入 Bedrock 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateModelInvocationJob 授予创建新模型调用作业的权限 写入

custom-model*

foundation-model*

model-invocation-job*

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePrompt 授予权限以创建提示 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePromptVersion 授予权限以创建提示版本 写入

prompt*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateProvisionedModelThroughput 授予创建新的预置模型吞吐量的权限 写入

custom-model*

foundation-model*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAgent 授予删除您之前创建的代理的权限 写入

agent*

DeleteAgentActionGroup 授予删除您之前创建 actionGroup 的的权限 写入

agent*

DeleteAgentAlias 授予删除您之前创建 AgentAlias 的的权限 写入

agent-alias*

DeleteAgentMemory 授予权限以删除别名的现有内存 写入

agent-alias*

DeleteAgentVersion 授予删除您之前创建的代理版本的权限 写入

agent*

DeleteCustomModel 授予权限以删除您之前创建的自定义模型 写入

custom-model*

DeleteDataSource 授予删除数据源的权限 写入

knowledge-base*

DeleteFlow 授予权限以删除提示流 写入

flow*

DeleteFlowAlias 授予权限以删除提示流别名 写入

flow-alias*

DeleteFlowVersion 授予权限以删除提示流版本 写入

flow*

DeleteFoundationModelAgreement 授予删除先前创建的基础模型协议的权限 写入
DeleteGuardrail 授予删除防护机制或其版本的权限 写入

guardrail*

DeleteImportedModel 授予权限以删除先前创建的 Bedrock 导入模型 写入

imported-model*

DeleteInferenceProfile 授予删除推理配置文件的权限 写入

application-inference-profile*

DeleteKnowledgeBase 授予权限以删除知识库 写入

knowledge-base*

DeleteModelInvocationLoggingConfiguration 授予删除现有调用日志记录配置的权限 写入
DeletePrompt 授予权限以删除提示或其版本 写入

prompt*

prompt-version*

DeleteProvisionedModelThroughput 授予删除先前创建的预置模型吞吐量的权限 写入

provisioned-model*

DeleteResourcePolicy[仅权限] 删除之前创建的 Bedrock 资源策略 写入

custom-model*

DetectGeneratedContent 授予权限以检测所提供的内容是否是使用 Amazon Bedrock 生成 读取

foundation-model*

DisassociateAgentKnowledgeBase 授予解除知识库与代理关联的权限 写入

agent*

knowledge-base*

GetAgent 授予检索现有代理的权限 读取

agent*

GetAgentActionGroup 授予检索现有操作组的权限 读取

agent*

GetAgentAlias 授予检索现有别名的权限 读取

agent-alias*

GetAgentKnowledgeBase 授予描述与代理关联的知识库的权限 读取

agent*

knowledge-base*

GetAgentMemory 授予权限以检索别名的现有内存 读取

agent-alias*

GetAgentVersion 授予检索现有代理版本的权限 读取

agent*

GetCustomModel 授予权限以获取与您创建的 Bedrock 自定义模型相关的属性 读取

custom-model*

GetDataSource 授予检索现有数据源的权限 读取

knowledge-base*

GetEvaluationJob 授予权限以获取与评估作业关联的属性。使用此操作可获取评估作业的状态 读取

evaluation-job*

GetFlow 授予权限以检索现有提示流 读取

flow*

GetFlowAlias 授予权限以检索提示流的现有别名 读取

flow-alias*

GetFlowVersion 授予权限以检索提示流的现有版本 读取

flow*

GetFoundationModel 授予获取与 Bedrock 基础模型关联的属性的权限 读取

foundation-model*

GetFoundationModelAvailability 授予获取基础模型可用性的权限 读取
GetGuardrail 授予检索防护机制或其版本的权限 读取

guardrail*

GetImportedModel 授予权限以获取与 Bedrock 导入模型关联的属性 读取

imported-model*

GetInferenceProfile 授予权限以获取与推理配置文件关联的属性 读取

application-inference-profile*

inference-profile*

GetIngestionJob 授予检索现有提取作业的权限 读取

knowledge-base*

GetKnowledgeBase 授予检索现有知识库的权限 读取

knowledge-base*

GetModelCopyJob 授予权限以获取与模型复制作业关联的属性。使用此操作可获取模型复制作业的状态 读取

model-copy-job*

GetModelCustomizationJob 授予权限以获取与模型自定义任务关联的属性。使用此操作可获取模型自定义任务的状态 读取

model-customization-job*

GetModelEvaluationJob 授予获取与模型评估作业关联的属性的权限。使用此操作可获取模型评估作业的状态 读取

model-evaluation-job*

GetModelImportJob 授予权限以获取与模型导入作业关联的属性,用于获取模型导入作业的状态 读取

model-import-job*

GetModelInvocationJob 授予检索模型调用作业的权限 读取

model-invocation-job*

GetModelInvocationLoggingConfiguration 授予检索现有调用日志记录配置的权限 读取
GetPrompt 授予权限以检索现有提示或其版本 读取

prompt*

prompt-version*

GetProvisionedModelThroughput 授予检索预置模型吞吐量的权限 读取

provisioned-model*

GetResourcePolicy[仅权限] 获取 Bedrock 资源的资源策略文档 读取

custom-model*

GetUseCaseForModelAccess 授予检索模型访问用例的权限 读取
InvokeAgent 授予向 Bedrock 的代理别名发送用户输入(仅文本)的权限 读取

agent-alias*

InvokeBuilder[仅权限] 授予权限以使用对话生成器,该生成器有助于构建支持的 Bedrock 资源 写入
InvokeFlow 授予权限以通过用户输入调用提示流 读取

flow-alias*

InvokeInlineAgent 授予向 Bedrock 的内联代理发送用户输入(纯文本)的权限 读取
InvokeModel 授予权限以使用请求正文中提供的输入,调用指定的 Bedrock 模型来运行推理 读取

application-inference-profile*

foundation-model*

imported-model*

inference-profile*

provisioned-model*

bedrock:InferenceProfileArn

InvokeModelWithResponseStream 授予权限以使用带流式响应的请求正文中提供的输入,调用指定的 Bedrock 模型来运行推理 读取

application-inference-profile*

foundation-model*

imported-model*

inference-profile*

provisioned-model*

bedrock:InferenceProfileArn

ListAgentActionGroups 授予在代理中列出操作组的权限 列出

agent*

ListAgentAliases 授予列出代理的别名的权限 列出

agent*

ListAgentKnowledgeBases 授予列出与代理关联的知识库的权限 列出

agent*

ListAgentVersions 授予列出代理的现有版本的权限 列出

agent*

ListAgents 授予列出现有代理的权限 列出
ListCustomModels 授予权限以获取您创建的 Bedrock 自定义模型的列表 列出
ListDataSources 授予列出知识库中的现有数据源的权限 列出

knowledge-base*

ListEvaluationJobs 授予权限以获取您已提交的评估作业的列表 列出
ListFlowAliases 授予权限以列出提示流的现有别名 列出

flow*

ListFlowVersions 授予权限以列出提示流的现有版本 列出

flow*

ListFlows 授予权限以列出现有提示流 列出
ListFoundationModelAgreementOffers 授予获取基础模型协议优惠列表的权限 列出
ListFoundationModels 授予权限以列出您可以使用的 Bedrock 基础模型 列出
ListGuardrails 授予列出防护机制或其版本的权限 列出

guardrail

ListImportedModels 授予权限以获取 Bedrock 导入模型的列表 列出
ListInferenceProfiles 授予权限以列出您可以使用的推理配置文件 列出
ListIngestionJobs 授予列出数据源的提取作业的权限 列出

knowledge-base*

ListKnowledgeBases 授予列出现有知识库的权限 列出
ListModelCopyJobs 授予权限以获取您已提交的模型复制作业的列表 列出
ListModelCustomizationJobs 授予权限以获取您已提交的模型自定义任务的列表 列出
ListModelEvaluationJobs 授予获取已提交模型评估作业的列表的权限 列出
ListModelImportJobs 授予权限以获取模型导入作业的列表 列出
ListModelInvocationJobs 授予列出您之前创建的模型调用作业的权限 列出
ListPrompts 授予权限以列出现有提示 列出

prompt

ListProvisionedModelThroughputs 授予列出先前创建的预置模型吞吐量的权限 列出
ListTagsForResource 授予权限以列出 Bedrock 资源的标签 读取

agent*

agent-alias*

application-inference-profile*

custom-model*

evaluation-job*

flow*

flow-alias*

guardrail*

imported-model*

knowledge-base*

model-copy-job*

model-customization-job*

model-evaluation-job*

model-import-job*

model-invocation-job*

prompt*

prompt-version*

provisioned-model*

PrepareAgent 授予准备现有代理以接收运行时系统请求的权限 写入

agent*

PrepareFlow 授予权限以应用提示流的最新更改,以便这些更改在运行时反映出来 写入

flow*

PutFoundationModelEntitlement 授予授权访问基础模型的权限 写入
PutModelInvocationLoggingConfiguration 授予创建现有调用日志记录配置的权限 写入
PutResourcePolicy[仅权限] 为 Bedrock 资源添加资源策略 写入

custom-model*

aws:RequestTag/${TagKey}

aws:TagKeys

PutUseCaseForModelAccess 授予放置模型访问用例的权限 写入
RenderPrompt[仅权限] 授予呈现现有提示或其版本的权限 读取

prompt*

prompt-version*

Retrieve 授予从知识库检索摄入的数据的权限 读取

knowledge-base*

RetrieveAndGenerate 授予发送用户输入以执行检索和生成的权限 写入
StartIngestionJob 授予启动提取作业的权限 写入

knowledge-base*

StopEvaluationJob 授予权限以停止正在进行的评估作业 写入

evaluation-job*

StopIngestionJob 授予权限以停止提取作业 写入

knowledge-base*

StopModelCustomizationJob 授予权限以在进行中停止 Bedrock 模型自定义任务 写入

model-customization-job*

StopModelInvocationJob 授予停止您之前启动的模型调用作业的权限 写入

model-invocation-job*

TagResource 授予权限以标记 Bedrock 资源 标记

agent

agent-alias

application-inference-profile

custom-model

evaluation-job

flow

flow-alias

guardrail

imported-model

knowledge-base

model-copy-job

model-customization-job

model-evaluation-job

model-import-job

model-invocation-job

prompt

prompt-version

provisioned-model

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource 授予权限以取消标记 Bedrock 资源 标记

agent

agent-alias

application-inference-profile

custom-model

evaluation-job

flow

flow-alias

guardrail

imported-model

knowledge-base

model-copy-job

model-customization-job

model-evaluation-job

model-import-job

model-invocation-job

prompt

prompt-version

provisioned-model

aws:TagKeys

UpdateAgent 授予更新现有代理的权限 写入

agent*

UpdateAgentActionGroup 授予更新现有操作组的权限 写入

agent*

UpdateAgentAlias 授予更新现有别名的权限 写入

agent-alias*

UpdateAgentKnowledgeBase 授予更新与代理关联的知识库的权限 写入

agent*

knowledge-base*

UpdateDataSource 授予权限以更新数据源 写入

knowledge-base*

UpdateFlow 授予权限以更新提示流 写入

flow*

UpdateFlowAlias 授予权限以更新提示流别名的配置 写入

flow-alias*

UpdateGuardrail 授予更新防护机制的权限 写入

guardrail*

UpdateKnowledgeBase 授予更新知识库的权限 写入

knowledge-base*

UpdatePrompt 授予权限以更新提示 写入

prompt*

UpdateProvisionedModelThroughput 授予更新先前创建的预置模型吞吐量的权限 写入

custom-model*

foundation-model*

provisioned-model*

ValidateFlowDefinition 授予验证提示流定义的权限 读取

Amazon Bedrock 定义的资源类型

以下资源类型由此服务定义,可以在IAM权限策略语句的Resource元素中使用。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
foundation-model arn:${Partition}:bedrock:${Region}::foundation-model/${ResourceId}
inference-profile arn:${Partition}:bedrock:${Region}:${Account}:inference-profile/${ResourceId}
application-inference-profile arn:${Partition}:bedrock:${Region}:${Account}:application-inference-profile/${ResourceId}

aws:ResourceTag/${TagKey}

custom-model arn:${Partition}:bedrock:${Region}:${Account}:custom-model/${ResourceId}

aws:ResourceTag/${TagKey}

provisioned-model arn:${Partition}:bedrock:${Region}:${Account}:provisioned-model/${ResourceId}

aws:ResourceTag/${TagKey}

model-customization-job arn:${Partition}:bedrock:${Region}:${Account}:model-customization-job/${ResourceId}

aws:ResourceTag/${TagKey}

agent arn:${Partition}:bedrock:${Region}:${Account}:agent/${AgentId}

aws:ResourceTag/${TagKey}

agent-alias arn:${Partition}:bedrock:${Region}:${Account}:agent-alias/${AgentId}/${AgentAliasId}

aws:ResourceTag/${TagKey}

knowledge-base arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/${KnowledgeBaseId}

aws:ResourceTag/${TagKey}

model-evaluation-job arn:${Partition}:bedrock:${Region}:${Account}:model-evaluation-job/${ResourceId}

aws:ResourceTag/${TagKey}

evaluation-job arn:${Partition}:bedrock:${Region}:${Account}:evaluation-job/${ResourceId}

aws:ResourceTag/${TagKey}

model-invocation-job arn:${Partition}:bedrock:${Region}:${Account}:model-invocation-job/${JobIdentifier}

aws:ResourceTag/${TagKey}

guardrail arn:${Partition}:bedrock:${Region}:${Account}:guardrail/${GuardrailId}

aws:ResourceTag/${TagKey}

flow arn:${Partition}:bedrock:${Region}:${Account}:flow/${FlowId}

aws:ResourceTag/${TagKey}

flow-alias arn:${Partition}:bedrock:${Region}:${Account}:flow/${FlowId}/alias/${FlowAliasId}

aws:ResourceTag/${TagKey}

model-copy-job arn:${Partition}:bedrock:${Region}:${Account}:model-copy-job/${ResourceId}

aws:ResourceTag/${TagKey}

prompt arn:${Partition}:bedrock:${Region}:${Account}:prompt/${PromptId}

aws:ResourceTag/${TagKey}

prompt-version arn:${Partition}:bedrock:${Region}:${Account}:prompt/${PromptId}:${PromptVersion}

aws:ResourceTag/${TagKey}

model-import-job arn:${Partition}:bedrock:${Region}:${Account}:model-import-job/${ResourceId}

aws:ResourceTag/${TagKey}

imported-model arn:${Partition}:bedrock:${Region}:${Account}:imported-model/${ResourceId}

aws:ResourceTag/${TagKey}

Amazon Bedrock 的条件键

Amazon Bedrock 定义了以下可在IAM策略Condition元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据每个必需标签的允许值集,筛选对创建请求的访问权限 String
aws:ResourceTag/${TagKey} 根据与资源关联的标签值,筛选对操作的访问权限 String
aws:TagKeys 根据在请求中是否具有必需标签,筛选对创建请求的访问权限 ArrayOfString
bedrock:InferenceProfileArn 按指定的推理配置文件筛选访问权限 ARN
bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn 按 secretArn 包含第三方平台凭据的,筛选访问权限 ARN