Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS verwaltete Richtlinien für Amazon Bedrock
Es ist einfacher zu verwenden, um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen AWS verwaltete Richtlinien, als selbst Richtlinien zu schreiben. Es erfordert Zeit und Fachwissen, um vom IAMKunden verwaltete Richtlinien zu erstellen, die Ihrem Team nur die Berechtigungen gewähren, die es benötigt. Um schnell loszulegen, können Sie unsere verwenden AWS verwaltete Richtlinien. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto. Für weitere Informationen über AWS verwaltete Richtlinien finden Sie unter AWS verwaltete Richtlinien im IAMBenutzerhandbuch.
AWS Wartung und Aktualisierung der Dienste AWS verwaltete Richtlinien. Sie können die Berechtigungen nicht ändern in AWS verwaltete Richtlinien. Dienste fügen gelegentlich zusätzliche Berechtigungen zu einem hinzu AWS verwaltete Richtlinie zur Unterstützung neuer Funktionen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Es ist am wahrscheinlichsten, dass Dienste ein aktualisieren AWS verwaltete Richtlinie, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einem AWS verwaltete Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
Darüber hinaus AWS unterstützt verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Zum Beispiel die ReadOnlyAccess AWS Die verwaltete Richtlinie bietet nur Lesezugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion einführt, AWS fügt Nur-Lese-Berechtigungen für neue Operationen und Ressourcen hinzu. Eine Liste und eine Beschreibung der Richtlinien für Berufsfunktionen finden Sie unter AWS verwaltete Richtlinien für Jobfunktionen im IAMBenutzerhandbuch.
Themen
AWS verwaltete Richtlinie: AmazonBedrockFullAccess
Sie können die AmazonBedrockFullAccess Richtlinie an Ihre IAM Identitäten anhängen.
Diese Richtlinie gewährt Administratorberechtigungen, mit denen Benutzer Amazon-Bedrock-Ressourcen erstellen, lesen, aktualisieren und löschen können.
Anmerkung
Für die Feinabstimmung und den Modellzugriff sind zusätzliche Berechtigungen erforderlich. Weitere Informationen finden Sie unter Gewähren des Zugriffs auf Modellabonnements von Drittanbietern und Berechtigungen für den Zugriff auf Schulungs- und Validierungsdateien sowie für das Schreiben von Ausgabedateien in S3.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen:
-
ec2(Amazon Elastic Compute Cloud) — Ermöglicht Berechtigungen zur Beschreibung VPCs von Subnetzen und Sicherheitsgruppen. -
iam(AWS Identity and Access Management) — Ermöglicht Prinzipalen die Weitergabe von Rollen, erlaubt aber nur die Weitergabe von IAM Rollen, in denen „Amazon Bedrock“ enthalten ist, an den Amazon Bedrock-Service. Die Berechtigungen sind aufbedrock.amazonaws.comfür Amazon Bedrock-Operationen beschränkt. -
kms(AWS Key Management Service) — Ermöglicht es den Schulleitern, Folgendes zu beschreiben AWS KMS Schlüssel und Aliase. -
bedrock(Amazon Bedrock): Ermöglicht Prinzipalen Lese- und Schreibzugriff auf alle Aktionen in der Amazon-Bedrock-Steuerebene und im Runtime-Service.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BedrockAll", "Effect": "Allow", "Action": [ "bedrock:*" ], "Resource": "*" }, { "Sid": "DescribeKey", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:*:kms:*:::*" }, { "Sid": "APIsWithAllResourceAccess", "Effect": "Allow", "Action": [ "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "PassRoleToBedrock", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonBedrock*", "Condition": { "StringEquals": { "iam:PassedToService": [ "bedrock.amazonaws.com" ] } } } ] }
AWS verwaltete Richtlinie: AmazonBedrockReadOnly
Sie können die AmazonBedrockReadOnly Richtlinie an Ihre IAM Identitäten anhängen.
Diese Richtlinie gewährt schreibgeschützte Berechtigungen, mit denen Benutzer alle Ressourcen in Amazon Bedrock anzeigen können.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonBedrockReadOnly", "Effect": "Allow", "Action": [ "bedrock:GetFoundationModel", "bedrock:ListFoundationModels", "bedrock:ListTagsForResource", "bedrock:GetFoundationModelAvailability", "bedrock:GetModelInvocationLoggingConfiguration", "bedrock:GetProvisionedModelThroughput", "bedrock:ListProvisionedModelThroughputs", "bedrock:GetModelCustomizationJob", "bedrock:ListModelCustomizationJobs", "bedrock:ListCustomModels", "bedrock:GetCustomModel", "bedrock:GetModelInvocationJob", "bedrock:ListModelInvocationJobs", "bedrock:GetGuardrail", "bedrock:ListGuardrails", "bedrock:GetEvaluationJob", "bedrock:ListEvaluationJobs", "bedrock:GetInferenceProfile", "bedrock:ListInferenceProfiles" ], "Resource": "*" } ] }
AWS verwaltete Richtlinie: AmazonBedrockStudioPermissionsBoundary
Anmerkung
Bei dieser Richtlinie handelt es sich um eine Berechtigungsgrenze. Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einem IAM Prinzipal gewähren kann. Sie sollten die Grenzrichtlinien für Amazon Bedrock Studio-Berechtigungen nicht eigenständig verwenden und anhängen. Grenzrichtlinien für Amazon Bedrock Studio-Berechtigungen sollten nur an von Amazon Bedrock Studio verwaltete Rollen angehängt werden. Weitere Informationen zu Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM Entitäten im IAM Benutzerhandbuch.
-
Die aktuelle Version von Amazon Bedrock Studio geht weiterhin davon aus, dass eine ähnliche Richtlinie mit
AmazonDataZoneBedrockPermissionsBoundarydem Namen in Ihrem AWS Konto. Weitere Informationen finden Sie unter Schritt 2: Erstellen Sie eine Berechtigungsgrenze, eine Servicerolle und eine Bereitstellungsrolle.
Wenn Sie Amazon Bedrock Studio-Projekte, -Apps und -Komponenten erstellen, wendet Amazon Bedrock Studio diese Berechtigungsgrenze auf die IAM Rollen an, die bei der Erstellung dieser Ressourcen erstellt wurden.
Amazon Bedrock Studio verwendet die AmazonBedrockStudioPermissionsBoundary verwaltete Richtlinie, um die Berechtigungen des bereitgestellten IAM Prinzipals einzuschränken, an den sie angehängt ist. Principals können die Form von Benutzerrollen annehmen, die Amazon im Namen von Amazon Bedrock Studio-Benutzern übernehmen DataZone kann, und dann Aktionen wie das Lesen und Schreiben von Amazon S3 S3-Objekten oder das Aufrufen von Amazon Bedrock-Agenten ausführen.
Die AmazonBedrockStudioPermissionsBoundary Richtlinie gewährt Lese- und Schreibzugriff für Amazon Bedrock Studio auf Dienste wie Amazon S3, Amazon Bedrock, Amazon OpenSearch Serverless und AWS Lambda. Die Richtlinie gewährt auch Lese- und Schreibberechtigungen für einige Infrastrukturressourcen, die für die Nutzung dieser Dienste erforderlich sind, wie AWS Secrets Manager Manager-Geheimnisse, CloudWatch Amazon-Protokollgruppen und AWS KMS Schlüssel.
Diese Richtlinie besteht aus den folgenden Berechtigungssätzen.
s3— Ermöglicht Lese- und Schreibzugriff auf Objekte in Amazon S3 S3-Buckets, die von Amazon Bedrock Studio verwaltet werden.bedrock— Gewährt die Möglichkeit, Amazon Bedrock-Agenten, Wissensdatenbanken und Guardrails zu verwenden, die von Amazon Bedrock Studio verwaltet werden.aoss— Ermöglicht API den Zugriff auf Amazon OpenSearch Serverless-Sammlungen, die von Amazon Bedrock Studio verwaltet werden.lambda— Gewährt die Möglichkeit zum Aufrufen AWS Lambda Funktionen, die von Amazon Bedrock Studio verwaltet werden.secretsmanager— Ermöglicht Lese- und Schreibzugriff auf AWS Secrets Manager Manager-Geheimnisse, die von Amazon Bedrock Studio verwaltet werden.logs— Bietet Schreibzugriff auf CloudWatch Amazon-Logs, die von Amazon Bedrock Studio verwaltet werden.kms— Gewährt Zugriff zur Nutzung AWS Schlüssel für die Verschlüsselung von Amazon Bedrock Studio-Daten.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessS3Buckets", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListBucketVersions", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:DeleteObjectVersion" ], "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AccessOpenSearchCollections", "Effect": "Allow", "Action": "aoss:APIAccessAll", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "InvokeBedrockModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "arn:aws:bedrock:*::foundation-model/*" }, { "Sid": "AccessBedrockResources", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent", "bedrock:Retrieve", "bedrock:StartIngestionJob", "bedrock:GetIngestionJob", "bedrock:ListIngestionJobs", "bedrock:ApplyGuardrail", "bedrock:ListPrompts", "bedrock:GetPrompt", "bedrock:CreatePrompt", "bedrock:DeletePrompt", "bedrock:CreatePromptVersion", "bedrock:InvokeFlow", "bedrock:ListTagsForResource", "bedrock:TagResource", "bedrock:UntagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "RetrieveAndGenerate", "Effect": "Allow", "Action": "bedrock:RetrieveAndGenerate", "Resource": "*" }, { "Sid": "WriteLogs", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "InvokeLambdaFunctions", "Effect": "Allow", "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:*:*:function:br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "AccessSecretsManagerSecrets", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "UseKmsKeyWithBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "Null": { "kms:EncryptionContext:aws:bedrock:arn": "false" } } }, { "Sid": "UseKmsKeyWithAwsServices", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com", "secretsmanager.*.amazonaws.com" ] } } } ] }
Amazon Bedrock aktualisiert auf AWS Verwaltete Richtlinien
Einzelheiten zu Updates anzeigen für AWS verwaltete Richtlinien für Amazon Bedrock, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Für automatische Benachrichtigungen über Änderungen an dieser Seite abonnieren Sie den RSS Feed auf derDokumentverlauf für das Amazon-Bedrock-Benutzerhandbuch.
| Änderung | Beschreibung | Datum |
|---|---|---|
|
AmazonBedrockReadOnly— Aktualisierte Richtlinie |
Amazon Bedrock hat Leseberechtigungen für Inferenzprofile hinzugefügt. |
27. August 2024 |
|
AmazonBedrockReadOnly— Aktualisierte Richtlinie |
Amazon Bedrock hat die AmazonBedrockReadOnly Richtlinie aktualisiert und umfasst nun nur noch Leseberechtigungen für Amazon Bedrock Guardrails, Amazon Bedrock Model Evaluation und Amazon Bedrock Batch Inference. |
21. August 2024 |
|
AmazonBedrockReadOnly— Aktualisierte Richtlinie |
Amazon Bedrock hat Leseberechtigungen für Batch-Inferenz (Model-Aufruf-Job) hinzugefügt. |
21. August 2024 |
|
AmazonBedrockStudioPermissionsBoundary – Neue Richtlinie. |
Amazon Bedrock hat die erste Version dieser Richtlinie veröffentlicht. |
31. Juli 2024 |
|
AmazonBedrockFullAccess – Neue Richtlinie. |
Amazon Bedrock hat eine neue Richtlinie hinzugefügt, damit Benutzer Ressourcen erstellen, lesen, aktualisieren und löschen dürfen. |
12. Dezember 2023 |
|
AmazonBedrockReadOnly – Neue Richtlinie. |
Amazon Bedrock hat eine neue Richtlinie hinzugefügt, die Benutzern schreibgeschützten Zugriff auf alle Aktionen gewährt. |
12. Dezember 2023 |
|
Amazon Bedrock hat mit der Nachverfolgung von Änderungen begonnen |
Amazon Bedrock hat begonnen, Änderungen für seine AWS verwaltete Richtlinien. |
12. Dezember 2023 |
