Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acciones, recursos y claves de condición para Amazon Bedrock
Amazon Bedrock (prefijo de servicio: bedrock) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en las políticas de IAM permisos.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por Amazon Bedrock
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| ApplyGuardrail | Concede permiso para colocar una barandilla | Leer | |||
| AssociateAgentKnowledgeBase | Concede permiso para asociar una base de conocimiento a un agente | Escritura | |||
| AssociateThirdPartyKnowledgeBase [solo permiso] | Concede permiso para usar una plataforma de terceros para almacenar datos de conocimiento | Escritura | |||
| CreateAgent | Concede permiso para crear un nuevo agente y un alias de agente de prueba que apunte a la versión del agente DRAFT | Escritura | |||
| CreateAgentActionGroup | Concede permiso para crear un nuevo grupo de acciones en un agente existente | Escritura | |||
| CreateAgentAlias | Concede permiso para crear un nuevo alias para un agente | Escritura | |||
| CreateDataSource | Concede permiso para crear un origen de datos | Escritura | |||
| CreateEvaluationJob | Concede permiso para crear un trabajo para modelos de base de evaluación o modelos personalizados | Escritura | |||
| CreateFoundationModelAgreement | Concede permiso para crear un nuevo acuerdo de modelo de base | Escritura | |||
| CreateGuardrail | Concede permiso para crear una nueva barrera de protección | Escritura | |||
| CreateGuardrailVersion | Concede permiso para crear una nueva versión de barrera de protección | Escritura | |||
| CreateKnowledgeBase | Concede permiso para crear una base de conocimientos | Escritura | |||
| CreateModelCustomizationJob | Concede permiso para crear un trabajo para personalizar el modelo con sus datos de entrenamiento personalizados | Escritura | |||
| CreateModelEvaluationJob | Concede permiso para crear un trabajo para modelos de base de evaluación o modelos personalizados | Escritura | |||
| CreateModelInvocationJob | Concede permiso para crear un trabajo de invocación de modelo nuevo | Escritura | |||
| CreateProvisionedModelThroughput | Concede permiso para crear un nuevo rendimiento de modelo aprovisionado | Escritura | |||
| DeleteAgent | Concede permiso para eliminar un agente que haya creado anteriormente | Escritura | |||
| DeleteAgentActionGroup | Concede permiso para eliminar un actionGroup que haya creado anteriormente | Escritura | |||
| DeleteAgentAlias | Otorga permiso para eliminar una AgentAlias que haya creado anteriormente | Escritura | |||
| DeleteAgentVersion | Concede permiso para eliminar una versión de agente que haya creado anteriormente | Escritura | |||
| DeleteCustomModel | Concede permiso para eliminar un modelo personalizado que haya creado anteriormente | Escritura | |||
| DeleteDataSource | Concede permiso para eliminar un origen de datos | Escritura | |||
| DeleteFoundationModelAgreement | Concede permiso para eliminar un acuerdo de modelo de base que haya creado anteriormente | Escritura | |||
| DeleteGuardrail | Concede permiso para eliminar una barrera de protección o su versión | Escritura | |||
| DeleteKnowledgeBase | Concede permiso para eliminar una base de conocimientos | Escritura | |||
| DeleteModelInvocationLoggingConfiguration | Concede permiso para eliminar una configuración de registro de invocación existente | Escritura | |||
| DeleteProvisionedModelThroughput | Concede permiso para eliminar un rendimiento de modelo aprovisionado que haya creado anteriormente | Escritura | |||
| DetectGeneratedContent | Otorga permiso para detectar si el contenido proporcionado se generó con Amazon Bedrock | Leer | |||
| DisassociateAgentKnowledgeBase | Concede permiso para desasociar una base de conocimiento de agente | Escritura | |||
| GetAgent | Concede permiso para recuperar un agente existente | Leer | |||
| GetAgentActionGroup | Concede permiso para recuperar un grupo de acciones existente | Leer | |||
| GetAgentAlias | Concede permiso para recuperar un alias existente | Leer | |||
| GetAgentKnowledgeBase | Concede permiso para describir una base de conocimiento asociada a un agente | Leer | |||
| GetAgentVersion | Concede permiso para recuperar una versión de agente existente | Leer | |||
| GetCustomModel | Concede permiso para obtener las propiedades asociadas a un modelo personalizado de Bedrock que haya creado | Leer | |||
| GetDataSource | Concede permiso para recuperar un origen de datos existente | Leer | |||
| GetEvaluationJob | Otorga permiso para obtener las propiedades asociadas a un trabajo de evaluación. Utilice esta operación para obtener el estado de un trabajo de evaluación | Leer | |||
| GetFoundationModel | Concede permiso para obtener las propiedades asociadas a un modelo de base de Bedrock | Leer | |||
| GetFoundationModelAvailability | Concede permiso para obtener la disponibilidad de un modelo de base | Leer | |||
| GetGuardrail | Concede permiso para recuperar una barrera de protección o su versión | Leer | |||
| GetIngestionJob | Concede permiso para recuperar un trabajo de incorporación existente | Leer | |||
| GetKnowledgeBase | Concede permiso para recuperar una base de conocimiento existente | Leer | |||
| GetModelCustomizationJob | Concede permiso para obtener las propiedades asociadas con un trabajo de personalización de modelos. Utilice esta operación para obtener el estado de un trabajo de personalización de modelos | Leer | |||
| GetModelEvaluationJob | Concede permiso para obtener las propiedades asociadas con un trabajo de evaluación de modelos. Utilice esta operación para obtener el estado de un trabajo de evaluación de modelos | Leer | |||
| GetModelInvocationJob | Concede permiso para recuperar un trabajo de invocación de modelo | Leer | |||
| GetModelInvocationLoggingConfiguration | Concede permiso para recuperar una configuración de registro de invocación existente | Leer | |||
| GetProvisionedModelThroughput | Concede permiso para recuperar un rendimiento de modelo aprovisionado | Leer | |||
| GetUseCaseForModelAccess | Concede permiso para recuperar un caso de uso para acceder a modelos | Leer | |||
| InvokeAgent | Concede permiso para enviar la entrada del usuario (solo texto) al alias de un agente de Bedrock | Leer | |||
| InvokeModel | Concede permiso para invocar el modelo de Bedrock especificado para ejecutar la inferencia utilizando la entrada proporcionada en el cuerpo de la solicitud | Leer | |||
| InvokeModelWithResponseStream | Concede permiso para invocar el modelo Bedrock especificado para ejecutar la inferencia utilizando la entrada proporcionada en el cuerpo de la solicitud con respuesta de transmisión | Leer | |||
| ListAgentActionGroups | Concede permiso para enumerar grupos de acciones en un agente | Enumeración | |||
| ListAgentAliases | Concede permiso para enumerar alias de un agente | Enumeración | |||
| ListAgentKnowledgeBases | Concede permiso para enumerar las bases de conocimiento asociadas a un agente | Enumeración | |||
| ListAgentVersions | Concede permiso para enumerar versiones de agente existentes | Enumeración | |||
| ListAgents | Concede permiso para enumerar los agentes existentes | Enumeración | |||
| ListCustomModels | Concede permiso para obtener una lista de modelos personalizados de Bedrock que ha creado | Enumeración | |||
| ListDataSources | Concede permiso para enumerar los orígenes de datos existentes en una base de conocimiento | Enumeración | |||
| ListEvaluationJobs | Otorga permiso para obtener la lista de trabajos de evaluación que ha enviado | Enumeración | |||
| ListFoundationModelAgreementOffers | Concede permiso para obtener una lista de ofertas de acuerdo de modelo de base | Enumeración | |||
| ListFoundationModels | Concede permiso para enumerar los modelos de base de Bedrock que puede utilizar | Enumeración | |||
| ListGuardrails | Concede permiso para enumerar barreras de protección o sus versiones | Enumeración | |||
| ListIngestionJobs | Concede permiso para enumerar trabajos de incorporación en un origen de datos | Enumeración | |||
| ListKnowledgeBases | Concede permiso para enumerar las bases de conocimiento existentes | Enumeración | |||
| ListModelCustomizationJobs | Concede permiso para obtener la lista de trabajos de personalización de modelos que ha enviado | Enumeración | |||
| ListModelEvaluationJobs | Concede permiso para obtener la lista de trabajos de evaluación de modelos que ha enviado | Enumeración | |||
| ListModelInvocationJobs | Concede permiso para enumerar trabajos de invocación de modelo que haya creado anteriormente | Enumeración | |||
| ListProvisionedModelThroughputs | Concede permiso para enumerar los rendimientos de modelo aprovisionado que haya creado anteriormente | Enumeración | |||
| ListTagsForResource | Concede permiso para listar etiquetas para un recurso de Bedrock | Leer | |||
| PrepareAgent | Concede permiso para preparar un agente existente para recibir solicitudes de tiempo de ejecución | Escritura | |||
| PutFoundationModelEntitlement | Concede permiso para dar el derecho de acceso a un modelo de base | Escritura | |||
| PutModelInvocationLoggingConfiguration | Concede permiso para crear una configuración de registro de invocación | Escritura | |||
| PutUseCaseForModelAccess | Concede permiso para poner un caso de uso para el acceso de modelo | Escritura | |||
| Retrieve | Concede permiso para recuperar datos incorporados de una base de conocimiento | Leer | |||
| RetrieveAndGenerate | Concede permiso para enviar la entrada del usuario para realizar la recuperación y la generación | Escritura | |||
| StartIngestionJob | Concede permiso para iniciar un trabajo de incorporación | Escritura | |||
| StopEvaluationJob | Otorga permiso para detener un trabajo de evaluación mientras está en curso | Escritura | |||
| StopModelCustomizationJob | Concede permiso para detener un trabajo de personalización del modelo Bedrock mientras está en progreso | Escritura | |||
| StopModelInvocationJob | Concede permiso para detener un trabajo de invocación de modelo que haya iniciado anteriormente | Escritura | |||
| TagResource | Concede permiso para etiquetar un recurso Bedrock | Etiquetado | |||
| UntagResource | Concede permiso para quitar la etiqueta de un recurso Bedrock | Etiquetado | |||
| UpdateAgent | Concede permiso para actualizar un agente existente | Escritura | |||
| UpdateAgentActionGroup | Concede permiso para actualizar un grupo de acciones existente | Escritura | |||
| UpdateAgentAlias | Concede permiso para actualizar un alias existente | Escritura | |||
| UpdateAgentKnowledgeBase | Concede permiso para actualizar una base de conocimiento asociada a un agente | Escritura | |||
| UpdateDataSource | Concede permiso para actualizar un origen de datos | Escritura | |||
| UpdateGuardrail | Concede permiso para actualizar una barrera de protección | Escritura | |||
| UpdateKnowledgeBase | Concede permiso para actualizar una base de conocimientos | Escritura | |||
| UpdateProvisionedModelThroughput | Concede permiso para actualizar un rendimiento de modelo aprovisionado que haya creado anteriormente | Escritura | |||
Tipos de recursos definidos por Amazon Bedrock
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| foundation-model |
arn:${Partition}:bedrock:${Region}::foundation-model/${ResourceId}
|
|
| custom-model |
arn:${Partition}:bedrock:${Region}:${Account}:custom-model/${ResourceId}
|
|
| provisioned-model |
arn:${Partition}:bedrock:${Region}:${Account}:provisioned-model/${ResourceId}
|
|
| model-customization-job |
arn:${Partition}:bedrock:${Region}:${Account}:model-customization-job/${ResourceId}
|
|
| agent |
arn:${Partition}:bedrock:${Region}:${Account}:agent/${AgentId}
|
|
| agent-alias |
arn:${Partition}:bedrock:${Region}:${Account}:agent-alias/${AgentId}/${AgentAliasId}
|
|
| knowledge-base |
arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/${KnowledgeBaseId}
|
|
| model-evaluation-job |
arn:${Partition}:bedrock:${Region}:${Account}:model-evaluation-job/${ResourceId}
|
|
| evaluation-job |
arn:${Partition}:bedrock:${Region}:${Account}:evaluation-job/${ResourceId}
|
|
| model-invocation-job |
arn:${Partition}:bedrock:${Region}:${Account}:model-invocation-job/${JobIdentifier}
|
|
| guardrail |
arn:${Partition}:bedrock:${Region}:${Account}:guardrail/${GuardrailId}
|
Claves de condición para Amazon Bedrock
Amazon Bedrock define las siguientes claves de condición que se pueden usar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso creando solicitudes basadas en el conjunto de valores permitidos para cada una de las etiquetas obligatorias | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso al tener acciones basadas en el valor de la etiqueta asociada con el recurso | Cadena |
| aws:TagKeys | Filtra el acceso creando solicitudes basadas en la presencia de etiquetas obligatorias en la solicitud | ArrayOfString |
| bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn | Filtra el acceso mediante el secretArn que contiene las credenciales de la plataforma de terceros | ARN |
