Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS políticas gestionadas para Amazon Bedrock
Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas tú mismo. Crear políticas gestionadas por los IAM clientes que proporcionen a tu equipo solo los permisos que necesita requiere tiempo y experiencia. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas AWS administradas, consulte las políticas AWS administradas en la Guía del IAM usuario.
AWS los servicios mantienen y AWS actualizan las políticas administradas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada por AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada por AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política ReadOnlyAccess AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y una descripción de las políticas de funciones laborales, consulte las políticas AWS administradas para las funciones laborales en la Guía del IAMusuario.
Temas
AWS política gestionada: AmazonBedrockFullAccess
Puede adjuntar la AmazonBedrockFullAccess política a sus IAM identidades.
Esta política otorga permisos administrativos que permiten al usuario crear, leer, actualizar y eliminar recursos de Amazon Bedrock.
nota
Los microajustes y el acceso a los modelos requieren permisos adicionales. Para obtener más información, consulte Permisos de acceso a las suscripciones de modelos de terceros y Permisos para acceder a los archivos de formación y validación y para escribir los archivos de salida en S3.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
ec2(Amazon Elastic Compute Cloud): permite permisos para describirVPCs, subredes y grupos de seguridad. -
iam(AWS Identity and Access Management): permite a los directores transferir funciones, pero solo permite que las IAM funciones en las que figure «Amazon Bedrock» pasen al servicio Amazon Bedrock. Los permisos están restringidos abedrock.amazonaws.compara las operaciones de Amazon Bedrock. -
kms(Servicio de administración de AWS claves): permite a los directores describir AWS KMS las claves y los alias. -
bedrock(Amazon Bedrock): concede a las entidades principales acceso de lectura y escritura a todas las acciones del plano de control y el servicio de tiempo de ejecución de Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BedrockAll", "Effect": "Allow", "Action": [ "bedrock:*" ], "Resource": "*" }, { "Sid": "DescribeKey", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:*:kms:*:::*" }, { "Sid": "APIsWithAllResourceAccess", "Effect": "Allow", "Action": [ "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "PassRoleToBedrock", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonBedrock*", "Condition": { "StringEquals": { "iam:PassedToService": [ "bedrock.amazonaws.com" ] } } } ] }
AWS política gestionada: AmazonBedrockReadOnly
Puede adjuntar la AmazonBedrockReadOnly política a sus IAM identidades.
Esta política otorga permisos de solo lectura que permiten a los usuarios ver todos los recursos en Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonBedrockReadOnly", "Effect": "Allow", "Action": [ "bedrock:GetFoundationModel", "bedrock:ListFoundationModels", "bedrock:GetModelInvocationLoggingConfiguration", "bedrock:GetProvisionedModelThroughput", "bedrock:ListProvisionedModelThroughputs", "bedrock:GetModelCustomizationJob", "bedrock:ListModelCustomizationJobs", "bedrock:ListCustomModels", "bedrock:GetCustomModel", "bedrock:ListTagsForResource", "bedrock:GetFoundationModelAvailability" ], "Resource": "*" } ] }
AWS política gestionada: AmazonBedrockStudioPermissionsBoundary
nota
Esta política es un límite de permisos. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a un IAM principal. No debe usar ni adjuntar las políticas de límites de permisos de Amazon Bedrock Studio por su cuenta. Las políticas de límites de permisos de Amazon Bedrock Studio solo deben adjuntarse a las funciones gestionadas por Amazon Bedrock Studio. Para obtener más información sobre los límites de los permisos, consulte los límites de los permisos para IAM las entidades en la Guía del IAM usuario.
-
La versión actual de Amazon Bedrock Studio sigue esperando que exista una política
AmazonDataZoneBedrockPermissionsBoundarysimilar en su AWS cuenta. Para obtener más información, consulte Paso 2: Crear el límite de permisos, la función de servicio y la función de aprovisionamiento.
Al crear proyectos, aplicaciones y componentes de Amazon Bedrock Studio, Amazon Bedrock Studio aplica este límite de permisos a las IAM funciones generadas al crear esos recursos.
Amazon Bedrock Studio usa la política AmazonBedrockStudioPermissionsBoundary administrada para limitar los permisos del IAM principal aprovisionado al que está asociado. Los directores pueden adoptar la forma de las funciones de usuario que Amazon DataZone puede asumir en nombre de los usuarios de Amazon Bedrock Studio y, posteriormente, realizar acciones como leer y escribir objetos de Amazon S3 o invocar a los agentes de Amazon Bedrock.
La AmazonBedrockStudioPermissionsBoundary política otorga acceso de lectura y escritura para Amazon Bedrock Studio a servicios como Amazon S3, Amazon Bedrock, Amazon OpenSearch Serverless y. AWS Lambda La política también otorga permisos de lectura y escritura a algunos recursos de infraestructura necesarios para usar estos servicios, como los AWS secretos de Secrets Manager, los grupos de CloudWatch registro de Amazon y AWS KMS las claves.
Esta política consta de los siguientes conjuntos de permisos.
s3— Permite el acceso de lectura y escritura a los objetos de los buckets de Amazon S3 gestionados por Amazon Bedrock Studio.bedrock— Otorga la posibilidad de utilizar los agentes, bases de conocimiento y barreras de Amazon Bedrock gestionados por Amazon Bedrock Studio.aoss— Permite el API acceso a las colecciones de Amazon OpenSearch Serverless gestionadas por Amazon Bedrock Studio.lambda— Otorga la capacidad de invocar AWS Lambda funciones administradas por Amazon Bedrock Studio.secretsmanager— Permite el acceso de lectura y escritura a AWS los secretos de Secrets Manager gestionados por Amazon Bedrock Studio.logs— Proporciona acceso de escritura a Amazon CloudWatch Logs gestionados por Amazon Bedrock Studio.kms— Otorga acceso al uso de AWS claves para cifrar los datos de Amazon Bedrock Studio.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessS3Buckets", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListBucketVersions", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:DeleteObjectVersion" ], "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AccessOpenSearchCollections", "Effect": "Allow", "Action": "aoss:APIAccessAll", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "InvokeBedrockModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "arn:aws:bedrock:*::foundation-model/*" }, { "Sid": "AccessBedrockResources", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent", "bedrock:Retrieve", "bedrock:StartIngestionJob", "bedrock:GetIngestionJob", "bedrock:ListIngestionJobs", "bedrock:ApplyGuardrail", "bedrock:ListPrompts", "bedrock:GetPrompt", "bedrock:CreatePrompt", "bedrock:DeletePrompt", "bedrock:CreatePromptVersion", "bedrock:InvokeFlow", "bedrock:ListTagsForResource", "bedrock:TagResource", "bedrock:UntagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "RetrieveAndGenerate", "Effect": "Allow", "Action": "bedrock:RetrieveAndGenerate", "Resource": "*" }, { "Sid": "WriteLogs", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "InvokeLambdaFunctions", "Effect": "Allow", "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:*:*:function:br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "AccessSecretsManagerSecrets", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "UseKmsKeyWithBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "Null": { "kms:EncryptionContext:aws:bedrock:arn": "false" } } }, { "Sid": "UseKmsKeyWithAwsServices", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com", "secretsmanager.*.amazonaws.com" ] } } } ] }
Amazon Bedrock actualiza las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon Bedrock desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase al RSS feed delHistorial de documentación para la guía de usuario de Amazon Bedrock.
| Cambio | Descripción | Fecha |
|---|---|---|
|
AmazonBedrockStudioPermissionsBoundary— Nueva política |
Amazon Bedrock Studio publicó la primera versión de esta política. |
31 de julio de 2024 |
|
AmazonBedrockFullAccess— Nueva política |
Amazon Bedrock agregó una nueva política para otorgar a los usuarios permisos para crear, leer, actualizar y eliminar recursos. |
12 de diciembre de 2023 |
|
AmazonBedrockReadOnly— Nueva política |
Amazon Bedrock ha agregado una nueva política para conceder a los usuarios permisos de solo lectura para realizar todas las acciones. |
12 de diciembre de 2023 |
|
Amazon Bedrock comenzó a hacer un seguimiento de los cambios |
Amazon Bedrock comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. |
12 de diciembre de 2023 |
