Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Zustandstasten für Amazon Bedrock Agentcore
Amazon Bedrock Agentcore (Servicepräfix:bedrock-agentcore) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM-Berechtigungsrichtlinien bereit.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Zeigen Sie eine Liste der API-Operationen an, die für diesen Service verfügbar sind.
-
Erfahren Sie, wie Sie diesen Service und seine Ressourcen mithilfe von IAM-Berechtigungsrichtlinien schützen.
Themen
Von Amazon Bedrock Agentcore definierte Aktionen
Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, erlauben oder verweigern Sie in der Regel den Zugriff auf die API-Operation oder den CLI-Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
In der Spalte Zugriffsebene der Tabelle Aktionen wird beschrieben, wie die Aktion klassifiziert ist (Liste, Lesen, Verwaltung von Berechtigungen oder Tagging). Diese Klassifizierung gibt an, welche Zugriffsebene die betreffende Aktion gewährt, wenn Sie sie in einer Richtlinie verwenden. Weitere Informationen zu Zugriffsebenen finden Sie unter Zugriffsebenen in Richtlinienzusammenfassungen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie einen ARN dieses Typs in einer Anweisung mit dieser Aktion angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Element Resource in einer IAM-Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp einen ARN oder ein Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
In der Spalte „Abhängige Aktionen“ der Tabelle „Aktionen“ werden zusätzliche Berechtigungen angezeigt, die für den erfolgreichen Aufruf einer Aktion erforderlich sind. Diese Berechtigungen werden zusätzlich zu den Berechtigungen für die Aktion selbst benötigt. Wenn eine Aktion abhängige Aktionen spezifiziert, können diese Abhängigkeiten für zusätzliche Ressourcen gelten, die für diese Aktion definiert wurden, nicht nur für die erste Ressource, die in der Tabelle aufgeführt ist.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
| Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
|---|---|---|---|---|---|
| AllowVendedLogDeliveryForResource [nur Berechtigung] | Erteilt die Berechtigung, Verkaufstelemetrie für eine Ressource zu konfigurieren | Berechtigungsverwaltung | |||
| ConnectBrowserAutomationStream | Erteilt die Berechtigung, eine Verbindung zu einem Browser-Automatisierungsstream herzustellen | Lesen | |||
| ConnectBrowserLiveViewStream | Erteilt die Berechtigung, eine Verbindung zu einem Browser-Live-View-Stream herzustellen | Lesen | |||
| CreateAgentRuntime | Erteilt die Berechtigung zum Erstellen einer neuen Agenten-Laufzeit | Schreiben |
iam:PassRole |
||
| CreateAgentRuntimeEndpoint | Erteilt die Berechtigung zum Erstellen eines neuen Agenten-Runtime-Endpunkts | Schreiben | |||
| CreateApiKeyCredentialProvider | Erteilt die Berechtigung zum Erstellen eines neuen API-Schlüsselanmeldeanbieters | Schreiben | |||
| CreateBrowser | Erteilt die Erlaubnis, einen neuen benutzerdefinierten Browser zu erstellen | Schreiben | |||
| CreateCodeInterpreter | Erteilt die Erlaubnis, einen neuen Interpreter für benutzerdefinierten Code zu erstellen | Schreiben | |||
| CreateEvent | Erteilt die Erlaubnis, ein Ereignis zu erstellen | Schreiben | |||
| CreateGateway | Erteilt die Erlaubnis, ein neues Gateway zu erstellen | Schreiben |
iam:PassRole |
||
| CreateGatewayTarget | Erteilt die Berechtigung, ein neues Ziel in einem vorhandenen Gateway zu erstellen | Schreiben | |||
| CreateMemory | Erteilt die Berechtigung zum Erstellen einer Speicherressource | Schreiben |
iam:PassRole |
||
| CreateOauth2CredentialProvider | Erteilt die Berechtigung zum Erstellen eines neuen Anmeldeinformationsanbieters für den Zugriff auf externe Ressourcen mit Protokoll OAuth2 | Schreiben | |||
| CreateWorkloadIdentity | Erteilt die Berechtigung zum Erstellen einer neuen Workload-Identität | Schreiben | |||
| DeleteAgentRuntime | Erteilt die Berechtigung zum Löschen einer Agenten-Laufzeit | Schreiben | |||
| DeleteAgentRuntimeEndpoint | Erteilt die Berechtigung zum Löschen eines Agenten-Runtime-Endpunkts | Schreiben | |||
| DeleteApiKeyCredentialProvider | Erteilt die Berechtigung zum Löschen eines registrierten API-Schlüsselanmeldeanbieters | Schreiben | |||
| DeleteBrowser | Erteilt die Berechtigung zum Löschen eines benutzerdefinierten Browsers | Schreiben | |||
| DeleteCodeInterpreter | Erteilt die Berechtigung zum Löschen eines benutzerdefinierten Code-Interpreters | Schreiben | |||
| DeleteEvent | Erteilt die Berechtigung zum Löschen eines Ereignisses | Schreiben | |||
| DeleteGateway | Erteilt die Erlaubnis, ein vorhandenes Gateway zu löschen | Schreiben | |||
| DeleteGatewayTarget | Erteilt die Berechtigung zum Löschen eines vorhandenen Gateway-Ziels | Schreiben | |||
| DeleteMemory | Erteilt die Berechtigung zum Löschen einer Speicherressource | Schreiben | |||
| DeleteMemoryRecord | Erteilt die Berechtigung zum Löschen eines Speicherdatensatzes | Schreiben | |||
| DeleteOauth2CredentialProvider | Erteilt die Berechtigung zum Löschen eines registrierten OAuth2 Anmeldeinformationsanbieters | Schreiben | |||
| DeleteWorkloadIdentity | Erteilt die Berechtigung zum Löschen einer registrierten Workload-Identität | Schreiben | |||
| GetAgentRuntime | Erteilt die Berechtigung, Details zur Laufzeit eines Agenten abzurufen | Lesen | |||
| GetAgentRuntimeEndpoint | Erteilt die Berechtigung, Details eines Agenten-Runtime-Endpunkts abzurufen | Lesen | |||
| GetApiKeyCredentialProvider | Erteilt die Berechtigung, einen registrierten API-Schlüsselanmeldedienstanbieter anhand seines Namens abzurufen | Lesen | |||
| GetBrowser | Erteilt die Erlaubnis, Details zu einem Browser abzurufen | Lesen | |||
| GetBrowserSession | Erteilt die Erlaubnis, Details einer Browsersitzung abzurufen | Lesen | |||
| GetCodeInterpreter | Erteilt die Erlaubnis, Details eines Codeinterpreters abzurufen | Lesen | |||
| GetCodeInterpreterSession | Erteilt die Erlaubnis, Details einer Codeinterpreter-Sitzung abzurufen | Lesen | |||
| GetEvent | Erteilt die Erlaubnis, ein Ereignis abzurufen | Lesen | |||
| GetGateway | Erteilt die Erlaubnis, ein vorhandenes Gateway abzurufen | Lesen | |||
| GetGatewayTarget | Erteilt die Berechtigung zum Abrufen eines vorhandenen Gateway-Ziels | Lesen | |||
| GetMemory | Erteilt die Berechtigung zum Abrufen von Details für eine Speicherressource | Lesen | |||
| GetMemoryRecord | Erteilt die Berechtigung zum Abrufen eines Speicherdatensatzes | Lesen | |||
| GetOauth2CredentialProvider | Erteilt die Berechtigung, einen registrierten OAuth2 Credential Provider anhand seines Namens abzurufen | Lesen | |||
| GetResourceApiKey | Erteilt die Berechtigung zum Abrufen eines API-Schlüssels, der einem API-Schlüssel-Anmeldeinformationsanbieter zugeordnet ist | Lesen | |||
| GetResourceOauth2Token | Erteilt die Berechtigung zum Abrufen eines Zugriffstokens mit OAuth2 2LO- oder 3LO-Flow für den Zugriff auf externe Ressourcen | Lesen | |||
| GetTokenVault | Erteilt die Berechtigung zum Abrufen der aktuellen Konfiguration von TokenVault, einschließlich der Verschlüsselungseinstellungen | Lesen | |||
| GetWorkloadAccessToken | Erteilt die Berechtigung zum Abrufen eines Workload-Zugriffstokens für Agenten-Workloads, die nicht im Namen eines Benutzers agieren | Schreiben | |||
| GetWorkloadAccessTokenForJWT | Erteilt die Berechtigung zum Abrufen eines Workload-Zugriffstokens für Agenten-Workloads, die im Namen eines Benutzers mit JWT-Token agieren | Schreiben | |||
| GetWorkloadAccessTokenForUserId | Erteilt die Berechtigung zum Abrufen eines Workload-Zugriffstokens für Agenten-Workloads, die im Namen eines Benutzers mit Benutzer-ID agieren | Schreiben | |||
| GetWorkloadIdentity | Erteilt die Berechtigung zum Abrufen von Details für eine bestimmte Workload-Identität, einschließlich ihres Namens und der erlaubten Rückgabe OAuth2 URLs | Lesen | |||
| InvokeAgentRuntime | Erteilt die Berechtigung zum Aufrufen eines Agenten-Runtime-Endpunkts | Schreiben | |||
| InvokeCodeInterpreter | Erteilt die Berechtigung zum Aufrufen einer Codeinterpreter-Sitzung | Schreiben | |||
| ListActors | Erteilt die Erlaubnis, Schauspieler aufzulisten | Auflisten | |||
| ListAgentRuntimeEndpoints | Erteilt die Berechtigung, Agenten-Runtime-Endpunkte aufzulisten | Auflisten | |||
| ListAgentRuntimeVersions | Erteilt die Berechtigung, Agenten-Laufzeitversionen aufzulisten | Auflisten | |||
| ListAgentRuntimes | Erteilt die Berechtigung, Agenten-Laufzeiten aufzulisten | Auflisten | |||
| ListApiKeyCredentialProviders | Erteilt die Berechtigung, alle API-Schlüsselanmeldedienstanbieter im Token-Tresor aufzulisten | Lesen | |||
| ListBrowserSessions | Erteilt die Erlaubnis, Browsersitzungen aufzulisten | Auflisten | |||
| ListBrowsers | Erteilt die Erlaubnis, Browser aufzulisten | Auflisten | |||
| ListCodeInterpreterSessions | Erteilt die Erlaubnis, Codeinterpreter-Sitzungen aufzulisten | Auflisten | |||
| ListCodeInterpreters | Erteilt die Erlaubnis, Codeinterpreter aufzulisten | Auflisten | |||
| ListEvents | Erteilt die Erlaubnis, Ereignisse aufzulisten | Auflisten | |||
| ListGatewayTargets | Erteilt die Berechtigung, vorhandene Gateway-Ziele aufzulisten | Auflisten | |||
| ListGateways | Erteilt die Berechtigung, vorhandene Gateways aufzulisten | Auflisten | |||
| ListMemories | Erteilt die Erlaubnis, Speicherressourcen aufzulisten | Auflisten | |||
| ListMemoryRecords | Erteilt die Berechtigung zum Auflisten von Speicherdatensätzen | Auflisten | |||
| ListOauth2CredentialProviders | Erteilt die Berechtigung, alle OAuth2 Anmeldeinformationsanbieter im Token-Tresor aufzulisten | Lesen | |||
| ListSessions | Erteilt die Erlaubnis, Sitzungen aufzulisten | Auflisten | |||
| ListWorkloadIdentities | Erteilt die Erlaubnis, alle Workload-Identitäten in den Identitäten des Aufrufers aufzulisten AWS-Konto | Lesen | |||
| RetrieveMemoryRecords | Erteilt die Berechtigung zum Abrufen von Speicherdatensätzen durch eine semantische Abfrage | Auflisten | |||
| SetTokenVaultCMK | Erteilt die Berechtigung, einen vom Kunden verwalteten Schlüssel (CMK) oder einen vom Service verwalteten Schlüssel einem bestimmten Schlüssel zuzuordnen TokenVault | Lesen | |||
| StartBrowserSession | Erteilt die Berechtigung zum Starten einer neuen Browsersitzung | Schreiben | |||
| StartCodeInterpreterSession | Erteilt die Erlaubnis, eine neue Codeinterpreter-Sitzung zu starten | Schreiben | |||
| StopBrowserSession | Erteilt die Erlaubnis, eine Browsersitzung zu beenden | Schreiben | |||
| StopCodeInterpreterSession | Erteilt die Berechtigung, eine Codeinterpreter-Sitzung zu beenden | Schreiben | |||
| SynchronizeGatewayTargets [nur Berechtigung] | Erteilt die Berechtigung, die Suche auf Gateways zu aktivieren | Berechtigungsverwaltung | |||
| UpdateAgentRuntime | Erteilt die Berechtigung zum Aktualisieren einer Agenten-Laufzeit | Schreiben |
iam:PassRole |
||
| UpdateAgentRuntimeEndpoint | Erteilt die Berechtigung zum Aktualisieren eines Agenten-Runtime-Endpunkts | Schreiben | |||
| UpdateApiKeyCredentialProvider | Erteilt die Berechtigung zum Aktualisieren eines vorhandenen API-Schlüsselanmeldeanbieters | Schreiben | |||
| UpdateBrowserStream | Erteilt die Berechtigung, den Status des Browser-Sitzungsstreams zu aktualisieren | Schreiben | |||
| UpdateGateway | Erteilt die Erlaubnis, ein vorhandenes Gateway zu aktualisieren | Schreiben |
iam:PassRole |
||
| UpdateGatewayTarget | Erteilt die Berechtigung zum Aktualisieren eines vorhandenen Gateway-Ziels | Schreiben | |||
| UpdateMemory | Erteilt die Berechtigung zum Aktualisieren einer Speicherressource | Schreiben |
iam:PassRole |
||
| UpdateOauth2CredentialProvider | Erteilt die Berechtigung zum Aktualisieren eines vorhandenen OAuth2 Anmeldeinformationsanbieters | Schreiben | |||
| UpdateWorkloadIdentity | Erteilt die Berechtigung, die Metadaten einer vorhandenen Workload-Identität zu aktualisieren | Schreiben | |||
Von Amazon Bedrock Agentcore definierte Ressourcentypen
Die folgenden Ressourcentypen werden von diesem Service definiert und können im Element Resource von IAM-Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle „Aktionen“ identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.
| Ressourcentypen | ARN | Bedingungsschlüssel |
|---|---|---|
| memory |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:memory/${MemoryId}
|
|
| gateway |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:gateway/${GatewayId}
|
|
| workload-identity |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}/workload-identity/${WorkloadIdentityName}
|
|
| oauth2credentialprovider |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/oauth2credentialprovider/${Name}
|
|
| apikeycredentialprovider |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/apikeycredentialprovider/${Name}
|
|
| runtime |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}
|
|
| runtime-endpoint |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}/runtime-endpoint/${Name}
|
|
| code-interpreter-custom |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:code-interpreter-custom/${CodeInterpreterId}
|
|
| code-interpreter |
arn:${Partition}:bedrock-agentcore:${Region}:aws:code-interpreter/${CodeInterpreterId}
|
|
| browser-custom |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:browser-custom/${BrowserId}
|
|
| browser |
arn:${Partition}:bedrock-agentcore:${Region}:aws:browser/${BrowserId}
|
|
| workload-identity-directory |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}
|
|
| token-vault |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}
|
Zustandstasten für Amazon Bedrock Agentcore
Amazon Bedrock Agentcore definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM-Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).
Die globalen Bedingungsschlüssel, die für alle Dienste verfügbar sind, finden Sie unter AWS Globale Bedingungskontextschlüssel.
| Bedingungsschlüssel | Beschreibung | Typ |
|---|---|---|
| bedrock-agentcore:actorId | Filtert den Zugriff nach der Akteurs-ID | String |
| bedrock-agentcore:namespace | Filtert den Zugriff nach Namespace | String |
| bedrock-agentcore:sessionId | Filtert den Zugriff nach Sitzungs-ID | String |
| bedrock-agentcore:strategyId | Filtert den Zugriff nach der Speicherstrategie-ID | String |
