Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAM policies for Amazon BedrockAufrufe in Step Functions
Wenn Sie mithilfe der Konsole eine Zustandsmaschine erstellen, Step Functions wird automatisch eine Ausführungsrolle für Ihre Zustandsmaschine mit den geringsten erforderlichen Rechten erstellt. Diese automatisch generierten IAM Rollen gelten für den, AWS-Region in dem Sie den Zustandsmaschine erstellen.
Die folgenden Beispielvorlagen zeigen, wie IAM Richtlinien auf der Grundlage der Ressourcen in Ihrer State-Machine-Definition AWS Step Functions generiert werden. Weitere Informationen erhalten Sie unter So generiert Step Functions IAM Richtlinien für integrierte Dienste und Entdecken Sie Serviceintegrationsmuster in Step Functions.
Wir empfehlen, bei der Erstellung von IAM Richtlinien keine Platzhalter in die Richtlinien aufzunehmen. Aus Sicherheitsgründen sollten Sie Ihre Richtlinien so weit wie möglich einschränken. Sie sollten dynamische Richtlinien nur verwenden, wenn bestimmte Eingabeparameter während der Laufzeit nicht bekannt sind.
In diesem Thema
IAMRichtlinienbeispiele für die Amazon Bedrock Integration mit Step Functions
Im folgenden Abschnitt werden die IAM Berechtigungen beschrieben, die Sie je nach den Berechtigungen benötigen Amazon BedrockAPI, die Sie für ein bestimmtes Foundation- oder Bereitstellungsmodell verwenden. Dieser Abschnitt enthält auch Beispiele für Richtlinien, die vollen Zugriff gewähren.
Denken Sie daran, das zu ersetzen italicized Text mit Ihren ressourcenspezifischen Informationen.
-
IAMRichtlinienbeispiel für den Zugriff auf ein bestimmtes Foundation-Modell mit InvokeModel
-
IAMRichtlinienbeispiel für den Zugriff auf ein bestimmtes bereitgestelltes Modell mit InvokeModel
-
Zu verwendendes Beispiel IAM für eine Richtlinie mit vollständigem Zugriff InvokeModel
-
IAMRichtlinienbeispiel für den Zugriff auf ein bestimmtes Foundation-Modell als Basismodell
-
IAMRichtlinienbeispiel für den Zugriff auf ein bestimmtes benutzerdefiniertes Modell als Basismodell
IAMRichtlinienbeispiel für den Zugriff auf ein bestimmtes Foundation-Modell mit InvokeModel
Im Folgenden finden Sie ein IAM Richtlinienbeispiel für eine Zustandsmaschine, die auf ein bestimmtes Foundation-Modell zugreift, das amazon.titan-text-express-v1 mithilfe der InvokeModelAPIAktion benannt wurde.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Sid": "InvokeModel1", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:us-east-2::foundation-model/amazon.titan-text-express-v1" ] } ] }
IAMRichtlinienbeispiel für den Zugriff auf ein bestimmtes bereitgestelltes Modell mit InvokeModel
Im Folgenden finden Sie ein IAM Richtlinienbeispiel für eine Zustandsmaschine, die auf ein bestimmtes bereitgestelltes Modell zugreift, das c2oi931ulksx mithilfe der Aktion benannt wurde. InvokeModelAPI
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Sid": "InvokeModel1", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:us-east-2:123456789012:provisioned-model/c2oi931ulksx" ] } ] }
Zu verwendendes Beispiel IAM für eine Richtlinie mit vollständigem Zugriff InvokeModel
Im Folgenden finden Sie ein IAM Richtlinienbeispiel für eine Zustandsmaschine, die vollen Zugriff gewährt, wenn Sie die InvokeModelAPIAktion verwenden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Sid": "InvokeModel1", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:us-east-2::foundation-model/*", "arn:aws:bedrock:us-east-2:123456789012:provisioned-model/*" ] } ] }
IAMRichtlinienbeispiel für den Zugriff auf ein bestimmtes Foundation-Modell als Basismodell
Im Folgenden finden Sie ein IAM Richtlinienbeispiel für einen Zustandsmaschine, der mithilfe der CreateModelCustomizationJobAPIAktion auf ein bestimmtes Basismodell zugreift, das amazon.titan-text-express-v1 als Basismodell bezeichnet wird.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Sid": "CreateModelCustomizationJob1", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:us-east-2::foundation-model/amazon.titan-text-express-v1", "arn:aws:bedrock:us-east-2:123456789012:custom-model/*", "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*" ] }, { "Effect": "Allow", "Sid": "CreateModelCustomizationJob2", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::123456789012:role/myRole" ] } ] }
IAMRichtlinienbeispiel für den Zugriff auf ein bestimmtes benutzerdefiniertes Modell als Basismodell
Im Folgenden finden Sie ein IAM Richtlinienbeispiel für eine Zustandsmaschine, um mithilfe der CreateModelCustomizationJobAPIAktion auf ein bestimmtes benutzerdefiniertes Modell als Basismodell zuzugreifen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Sid": "CreateModelCustomizationJob1", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:us-east-2:123456789012:custom-model/*", "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*" ] }, { "Effect": "Allow", "Sid": "CreateModelCustomizationJob2", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::123456789012:role/[[roleName]]" ] } ] }
Beispiel IAM für eine vollständige Zugriffsrichtlinie zur Verwendung von CreateModelCustomizationJob .sync
Im Folgenden finden Sie ein IAM Richtlinienbeispiel für eine Zustandsmaschine, die vollen Zugriff gewährt, wenn Sie die CreateModelCustomizationJobAPIAktion verwenden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Sid": "CreateModelCustomizationJob1", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:us-east-2::foundation-model/*", "arn:aws:bedrock:us-east-2:123456789012:custom-model/*", "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*" ] }, { "Effect": "Allow", "Sid": "CreateModelCustomizationJob2", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::123456789012:role/myRole" ] } ] }
IAMRichtlinienbeispiel für den Zugriff auf ein bestimmtes Foundation-Modell mithilfe von CreateModelCustomizationJob .sync
Im Folgenden finden Sie ein IAM Richtlinienbeispiel für einen Zustandsmaschine für den Zugriff auf ein bestimmtes Foundation-Modell, das amazon.titan-text-express-v1 mithilfe der Aktion CreateModelCustomizationJob.sync API benannt wurde.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Sid": "CreateModelCustomizationJob1", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:us-east-2::foundation-model/amazon.titan-text-express-v1", "arn:aws:bedrock:us-east-2:123456789012:custom-model/*", "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*" ] }, { "Effect": "Allow", "Sid": "CreateModelCustomizationJob2", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:StopModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*" ] }, { "Effect": "Allow", "Sid": "CreateModelCustomizationJob3", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::123456789012:role/myRole" ] } ] }
IAMRichtlinienbeispiel für den Zugriff auf ein benutzerdefiniertes Modell mithilfe von .sync CreateModelCustomizationJob
Im Folgenden finden Sie ein IAM Richtlinienbeispiel für einen Zustandsmaschine für den Zugriff auf ein benutzerdefiniertes Modell mithilfe der Aktion CreateModelCustomizationJob.sync. API
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Sid": "CreateModelCustomizationJob1", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:us-east-2:123456789012:custom-model/*", "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*" ] }, { "Effect": "Allow", "Sid": "CreateModelCustomizationJob2", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:StopModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*" ] }, { "Effect": "Allow", "Sid": "CreateModelCustomizationJob3", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::123456789012:role/myRole" ] } ] }
Beispiel IAM für eine vollständige Zugriffsrichtlinie zur Verwendung von .sync CreateModelCustomizationJob
Im Folgenden finden Sie ein IAM Richtlinienbeispiel für eine Zustandsmaschine, die vollen Zugriff gewährt, wenn Sie die Aktion CreateModelCustomizationJob.sync API verwenden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Sid": "CreateModelCustomizationJob1", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:us-east-2::foundation-model/*", "arn:aws:bedrock:us-east-2:123456789012:custom-model/*", "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*" ] }, { "Effect": "Allow", "Sid": "CreateModelCustomizationJob2", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:StopModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*" ] }, { "Effect": "Allow", "Sid": "CreateModelCustomizationJob3", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::123456789012:role/myRole" ] } ] }
