本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Amazon Bedrock 的 受管政策
若要將許可新增至使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 IAM 客戶受管政策需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需受 AWS 管政策的詳細資訊,請參閱IAM《 使用者指南》中的受AWS 管政策。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務的任務函數的受管政策。例如, ReadOnlyAccess AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務函數政策的清單和說明,請參閱IAM《 使用者指南》中的AWS 任務函數的受管政策。
主題
AWS 受管政策: AmazonBedrockFullAccess
您可將 AmazonBedrockFullAccess 政策連接到 IAM 身分。
此政策授予管理權限,允許使用者建立、讀取、更新和刪除 Amazon Bedrock 資源。
注意
微調和模型存取需要額外的許可權。如需詳細資訊,請參閱 允許存取第三方模型訂閱 和 存取訓練和驗證檔案,以及在 S3 中寫入輸出檔案的權限。
許可詳細資訊
此政策包含以下許可:
-
ec2(Amazon Elastic Compute Cloud) – 允許描述 VPCs、子網路和安全群組的許可。 -
iam(AWS 身分和存取管理) – 允許主體傳遞角色,但僅允許將其中具有 "Amazon Bedrock" IAM的角色傳遞至 Amazon Bedrock 服務。許可權僅限用於 Amazon Bedrock 操作的bedrock.amazonaws.com。 -
kms(AWS 金鑰管理服務) – 允許主體描述 AWS KMS 金鑰和別名。 -
bedrock(Amazon Bedrock) — 允許主體讀取和寫入存取 Amazon Bedrock控制平面和執行期服務中的所有動作。 -
sagemaker(Amazon SageMaker AI) – 允許主體存取客戶帳戶中的 Amazon SageMaker AI 資源,這可做為 Amazon Bedrock Marketplace 功能的基礎。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BedrockAll", "Effect": "Allow", "Action": [ "bedrock:*" ], "Resource": "*" }, { "Sid": "DescribeKey", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:*:kms:*:::*" }, { "Sid": "APIsWithAllResourceAccess", "Effect": "Allow", "Action": [ "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "MarketplaceModelEndpointMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:DeleteEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com", "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible" } } }, { "Sid": "MarketplaceModelEndpointAddTagsOperations", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "sagemaker-sdk:bedrock", "bedrock:marketplace-registration-status", "sagemaker-studio:hub-content-arn" ] }, "StringLike": { "aws:RequestTag/sagemaker-sdk:bedrock": "compatible", "aws:RequestTag/bedrock:marketplace-registration-status": "registered", "aws:RequestTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*" } } }, { "Sid": "MarketplaceModelEndpointDeleteTagsOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "sagemaker-sdk:bedrock", "bedrock:marketplace-registration-status", "sagemaker-studio:hub-content-arn" ] }, "StringLike": { "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible", "aws:ResourceTag/bedrock:marketplace-registration-status": "registered", "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*" } } }, { "Sid": "MarketplaceModelEndpointNonMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "MarketplaceModelEndpointInvokingOperations", "Effect": "Allow", "Action": [ "sagemaker:InvokeEndpoint", "sagemaker:InvokeEndpointWithResponseStream" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com", "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible" } } }, { "Sid": "DiscoveringMarketplaceModel", "Effect": "Allow", "Action": [ "sagemaker:DescribeHubContent" ], "Resource": [ "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*", "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" ] }, { "Sid": "AllowMarketplaceModelsListing", "Effect": "Allow", "Action": [ "sagemaker:ListHubContents" ], "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" }, { "Sid": "PassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*SageMaker*ForBedrock*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "bedrock.amazonaws.com" ] } } }, { "Sid": "PassRoleToBedrock", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonBedrock*", "Condition": { "StringEquals": { "iam:PassedToService": [ "bedrock.amazonaws.com" ] } } } ] }
AWS 受管政策: AmazonBedrockReadOnly
您可將 AmazonBedrockReadOnly 政策連接到 IAM 身分。
此政策授予唯讀許可,允許使用者檢視 Amazon Bedrock 中所有的資源。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonBedrockReadOnly", "Effect": "Allow", "Action": [ "bedrock:Get*", "bedrock:List*" ], "Resource": "*" }, { "Sid": "MarketplaceModelEndpointNonMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeInferenceComponent", "sagemaker:ListEndpoints", "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "DiscoveringMarketplaceModel", "Effect": "Allow", "Action": [ "sagemaker:DescribeHubContent" ], "Resource": [ "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*", "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" ] }, { "Sid": "AllowMarketplaceModelsListing", "Effect": "Allow", "Action": [ "sagemaker:ListHubContents" ], "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" } ] }
AWS 受管政策: AmazonBedrockStudioPermissionsBoundary
注意
此政策是許可界限。許可界限會設定身分型政策可授予IAM委託人的最大許可。您不應自行使用和連接 Amazon Bedrock Studio 許可界限政策。Amazon Bedrock Studio 許可界限政策應僅連接至 Amazon Bedrock Studio 受管角色。如需許可界限的詳細資訊,請參閱IAM《 使用者指南》中的IAM實體的許可界限。
-
目前版本的 Amazon Bedrock Studio 繼續預期 AWS 您的帳戶中
AmazonDataZoneBedrockPermissionsBoundary存在名為 的類似政策。如需詳細資訊,請參閱步驟 2:建立許可界限、服務角色和佈建角色。
當您建立 Amazon Bedrock Studio 專案、應用程式和元件時,Amazon Bedrock Studio 會將此許可界限套用至建立這些資源時產生的IAM角色。
Amazon Bedrock Studio 使用 AmazonBedrockStudioPermissionsBoundary受管政策來限制其連接之佈建IAM主體的許可。委託人可能採用 Amazon DataZone 可代表 Amazon Bedrock Studio 使用者擔任的使用者角色形式,然後執行讀取和寫入 Amazon S3 物件或叫用 Amazon Bedrock 代理程式等動作。
此AmazonBedrockStudioPermissionsBoundary政策會將 Amazon Bedrock Studio 的讀取和寫入存取權授予 Amazon S3、Amazon Bedrock、Amazon OpenSearch Serverless 和 等服務 AWS Lambda。該政策也為使用 AWS Secrets Manager 秘密、Amazon CloudWatch 日誌群組和 AWS KMS 金鑰等服務所需的一些基礎設施資源提供讀取和寫入許可。
此政策包含下列一組許可。
s3– 允許讀取和寫入存取 Amazon Bedrock Studio 管理的 Amazon S3 儲存貯體中的物件。bedrock– 准許使用 Amazon Bedrock Studio 管理的 Amazon Bedrock 代理程式、知識庫和護欄。aoss– 允許API存取由 Amazon Bedrock Studio 管理的 Amazon OpenSearch Serverless 集合。lambda– 授予叫用 Amazon Bedrock Studio 管理之 AWS Lambda 函數的能力。secretsmanager– 允許讀取和寫入由 Amazon Bedrock Studio 管理的 AWS Secrets Manager 秘密。logs– 提供由 Amazon Bedrock Studio 管理的 Amazon CloudWatch Logs 寫入存取權。kms– 授予使用 AWS 金鑰加密 Amazon Bedrock Studio 資料的存取權。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessS3Buckets", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListBucketVersions", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:DeleteObjectVersion" ], "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AccessOpenSearchCollections", "Effect": "Allow", "Action": "aoss:APIAccessAll", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "InvokeBedrockModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "arn:aws:bedrock:*::foundation-model/*" }, { "Sid": "AccessBedrockResources", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent", "bedrock:Retrieve", "bedrock:StartIngestionJob", "bedrock:GetIngestionJob", "bedrock:ListIngestionJobs", "bedrock:ApplyGuardrail", "bedrock:ListPrompts", "bedrock:GetPrompt", "bedrock:CreatePrompt", "bedrock:DeletePrompt", "bedrock:CreatePromptVersion", "bedrock:InvokeFlow", "bedrock:ListTagsForResource", "bedrock:TagResource", "bedrock:UntagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "RetrieveAndGenerate", "Effect": "Allow", "Action": "bedrock:RetrieveAndGenerate", "Resource": "*" }, { "Sid": "WriteLogs", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "InvokeLambdaFunctions", "Effect": "Allow", "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:*:*:function:br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "AccessSecretsManagerSecrets", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "UseKmsKeyWithBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "Null": { "kms:EncryptionContext:aws:bedrock:arn": "false" } } }, { "Sid": "UseKmsKeyWithAwsServices", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com", "secretsmanager.*.amazonaws.com" ] } } } ] }
Amazon Bedrock 受 AWS 管政策更新
檢視自此服務開始追蹤這些變更以來,Amazon Bedrock AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 上的RSS摘要Amazon Bedrock 使用者指南的文件歷史記錄。
| 變更 | 描述 | 日期 |
|---|---|---|
|
AmazonBedrockFullAccess – 已更新政策 |
Amazon Bedrock 已更新 AmazonBedrockFullAccess 受管政策,授予客戶建立、讀取、更新和刪除 Amazon Bedrock Marketplace 資源的必要許可。這包括管理基礎 Amazon SageMaker AI 資源的許可,因為它們是 Amazon Bedrock Marketplace 功能的基礎。 |
2024 年 12 月 4 日 |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 已更新 AmazonBedrockReadOnly 受管政策,授予客戶讀取 Amazon Bedrock Marketplace 資源的必要許可。這包括管理基礎 Amazon SageMaker AI 資源的許可,因為它們是 Amazon Bedrock Marketplace 功能的基礎。 |
2024 年 10 月 4 日 |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 已更新 AmazonBedrockReadOnly 政策,以包含自訂模型匯入的唯讀許可。 |
2024 年 10 月 18 日 |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 新增了推論設定檔唯讀許可。 |
2024 年 8 月 27 日 |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 已更新 AmazonBedrockReadOnly 政策,以包含 Amazon Bedrock Guardrails、Amazon Bedrock Model 評估和 Amazon Bedrock Batch 推論的唯讀許可。 |
2024 年 8 月 21 日 |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 新增了批次推論 (模型調用任務) 唯讀許可。 |
2024 年 8 月 21 日 |
|
Amazon Bedrock 發佈了此政策的第一個版本。 |
2024 年 7 月 31 日 | |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 已更新 AmazonBedrockReadOnly 政策,以包含 Amazon Bedrock Custom Model Import 的唯讀許可。 |
2024 年 9 月 3 日 |
|
AmazonBedrockFullAccess – 新政策 |
Amazon Bedrock 新增了新政策,授予使用者建立、讀取、更新和刪除資源的許可權。 |
2023 年 12 月 12 日 |
|
AmazonBedrockReadOnly – 新政策 |
Amazon Bedrock 新增了新政策,為使用者提供所有動作的唯讀許可權。 |
2023 年 12 月 12 日 |
|
Amazon Bedrock 開始追蹤變更 |
Amazon Bedrock 開始追蹤其 AWS 受管政策的變更。 |
2023 年 12 月 12 日 |
