Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Claves de condición, recursos y acciones de Amazon Bedrock Agentcore
Amazon Bedrock Agentcore (prefijo de servicio:bedrock-agentcore) proporciona los siguientes recursos, acciones y claves de contexto de condiciones específicos del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por Amazon Bedrock Agentcore
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Nivel de acceso de la tabla de acciones describe cómo se clasifica la acción (lista, lectura, gestión de permisos o etiquetado). Esta clasificación puede ayudarle a entender el nivel de acceso que una acción concede cuando se utiliza en una política. Para obtener más información sobre los niveles de acceso, consulte los niveles de acceso en los resúmenes de políticas.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
En la columna Acciones dependientes de la tabla Acciones se muestran los permisos adicionales necesarios para ejecutar una acción correctamente. Estos permisos son necesarios además del permiso para la acción en sí. Cuando una acción especifica acciones dependientes, esas dependencias pueden aplicarse a los recursos adicionales definidos para esa acción, no solo al primer recurso de la tabla.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AllowVendedLogDeliveryForResource [solo permiso] | Otorga permiso para configurar la telemetría vendida para un recurso | Administración de permisos | |||
| ConnectBrowserAutomationStream | Otorga permiso para conectarse a una transmisión de automatización del navegador | Lectura | |||
| ConnectBrowserLiveViewStream | Otorga permiso para conectarse a una transmisión en directo del navegador | Lectura | |||
| CreateAgentRuntime | Otorga permiso para crear un nuevo agente en tiempo de ejecución | Escritura |
iam:PassRole |
||
| CreateAgentRuntimeEndpoint | Otorga permiso para crear un nuevo punto final de tiempo de ejecución del agente | Escritura | |||
| CreateApiKeyCredentialProvider | Otorga permiso para crear un nuevo proveedor de credenciales de clave de API | Escritura | |||
| CreateBrowser | Otorga permiso para crear un nuevo navegador personalizado | Escritura | |||
| CreateCodeInterpreter | Otorga permiso para crear un nuevo intérprete de código personalizado | Escritura | |||
| CreateEvent | Otorga permiso para crear un evento | Escritura | |||
| CreateGateway | Otorga permiso para crear una nueva puerta de enlace | Escritura |
iam:PassRole |
||
| CreateGatewayTarget | Otorga permiso para crear un nuevo objetivo en una puerta de enlace existente | Escritura | |||
| CreateMemory | Otorga permiso para crear un recurso de memoria | Escritura |
iam:PassRole |
||
| CreateOauth2CredentialProvider | Otorga permiso para crear un nuevo proveedor de credenciales para acceder a recursos externos mediante OAuth2 el protocolo | Escritura | |||
| CreateWorkloadIdentity | Otorga permiso para crear una nueva identidad de carga de trabajo | Escritura | |||
| DeleteAgentRuntime | Otorga permiso para eliminar el tiempo de ejecución de un agente | Escritura | |||
| DeleteAgentRuntimeEndpoint | Otorga permiso para eliminar un punto final del tiempo de ejecución de un agente | Escritura | |||
| DeleteApiKeyCredentialProvider | Otorga permiso para eliminar un proveedor de credenciales de clave de API registrado | Escritura | |||
| DeleteBrowser | Otorga permiso para eliminar un navegador personalizado | Escritura | |||
| DeleteCodeInterpreter | Otorga permiso para eliminar un intérprete de código personalizado | Escritura | |||
| DeleteEvent | Otorga permiso para eliminar un evento | Escritura | |||
| DeleteGateway | Otorga permiso para eliminar una puerta de enlace existente | Escritura | |||
| DeleteGatewayTarget | Otorga permiso para eliminar un destino de puerta de enlace existente | Escritura | |||
| DeleteMemory | Otorga permiso para eliminar un recurso de memoria | Escritura | |||
| DeleteMemoryRecord | Otorga permiso para eliminar un registro de memoria | Escritura | |||
| DeleteOauth2CredentialProvider | Otorga permiso para eliminar un proveedor de OAuth2 credenciales registrado | Escritura | |||
| DeleteWorkloadIdentity | Otorga permiso para eliminar una identidad de carga de trabajo registrada | Escritura | |||
| GetAgentRuntime | Otorga permiso para obtener detalles del tiempo de ejecución de un agente | Lectura | |||
| GetAgentRuntimeEndpoint | Otorga permiso para obtener detalles del punto final del tiempo de ejecución de un agente | Lectura | |||
| GetApiKeyCredentialProvider | Otorga permiso para buscar un proveedor de credenciales de clave de API registrado por su nombre | Lectura | |||
| GetBrowser | Otorga permiso para obtener detalles de un navegador | Lectura | |||
| GetBrowserSession | Otorga permiso para obtener detalles de una sesión de navegador | Lectura | |||
| GetCodeInterpreter | Otorga permiso para obtener los detalles de un intérprete de códigos | Lectura | |||
| GetCodeInterpreterSession | Otorga permiso para obtener detalles de una sesión de interpretación de códigos | Lectura | |||
| GetEvent | Otorga permiso para buscar un evento | Lectura | |||
| GetGateway | Otorga permiso para recuperar una puerta de enlace existente | Lectura | |||
| GetGatewayTarget | Otorga permiso para recuperar un destino de puerta de enlace existente | Lectura | |||
| GetMemory | Otorga permiso para obtener detalles de un recurso de memoria | Lectura | |||
| GetMemoryRecord | Otorga permiso para recuperar un registro de memoria | Lectura | |||
| GetOauth2CredentialProvider | Otorga permiso para buscar un proveedor de OAuth2 credenciales registrado por su nombre | Lectura | |||
| GetResourceApiKey | Otorga permiso para recuperar una clave de API asociada a un proveedor de credenciales de clave de API | Lectura | |||
| GetResourceOauth2Token | Otorga permiso para recuperar el token de acceso con un flujo de OAuth2 2LO o 3LO para acceder a un recurso externo | Lectura | |||
| GetTokenVault | Otorga permiso para recuperar la configuración actual del TokenVault, incluida la configuración de cifrado | Lectura | |||
| GetWorkloadAccessToken | Otorga permiso para recuperar un token de acceso a la carga de trabajo de una agencia que no actúa en nombre de un usuario | Escritura | |||
| GetWorkloadAccessTokenForJWT | Otorga permiso para recuperar un token de acceso a Workload para las cargas de trabajo de los agentes que actúan en nombre del usuario con el token JWT | Escritura | |||
| GetWorkloadAccessTokenForUserId | Otorga permiso para recuperar un token de acceso a la carga de trabajo de un agente que actúa en nombre del usuario con un identificador de usuario | Escritura | |||
| GetWorkloadIdentity | Otorga permiso para obtener los detalles de una identidad de carga de trabajo específica, incluidos su nombre y la devolución permitida OAuth2 URLs | Lectura | |||
| InvokeAgentRuntime | Otorga permiso para invocar un punto final de tiempo de ejecución de un agente | Escritura | |||
| InvokeCodeInterpreter | Otorga permiso para invocar una sesión de intérprete de código | Escritura | |||
| ListActors | Otorga permiso para incluir actores | Enumeración | |||
| ListAgentRuntimeEndpoints | Otorga permiso para enumerar los puntos finales del tiempo de ejecución de los agentes | Enumeración | |||
| ListAgentRuntimeVersions | Otorga permiso para enumerar las versiones del agente en tiempo de ejecución | Enumeración | |||
| ListAgentRuntimes | Otorga permiso para enumerar los tiempos de ejecución de los agentes | Enumeración | |||
| ListApiKeyCredentialProviders | Otorga permiso para incluir todos los proveedores de credenciales clave de API en Token Vault | Lectura | |||
| ListBrowserSessions | Otorga permiso para enumerar las sesiones del navegador | Enumeración | |||
| ListBrowsers | Otorga permiso para enumerar navegadores | Enumeración | |||
| ListCodeInterpreterSessions | Otorga permiso para enumerar las sesiones de los intérpretes de códigos | Enumeración | |||
| ListCodeInterpreters | Otorga permiso para incluir intérpretes de código | Enumeración | |||
| ListEvents | Otorga permiso para enumerar eventos | Enumeración | |||
| ListGatewayTargets | Otorga permiso para enumerar los destinos de puerta de enlace existentes | Enumeración | |||
| ListGateways | Otorga permiso para enumerar las puertas de enlace existentes | Enumeración | |||
| ListMemories | Otorga permiso para enumerar los recursos de memoria | Enumeración | |||
| ListMemoryRecords | Otorga permiso para enumerar los registros de memoria | Enumeración | |||
| ListOauth2CredentialProviders | Otorga permiso para incluir todos los proveedores de OAuth2 credenciales en Token Vault | Lectura | |||
| ListSessions | Otorga permiso para enumerar las sesiones | Enumeración | |||
| ListWorkloadIdentities | Otorga permiso para enumerar todas las identidades de carga de trabajo de la persona que llama Cuenta de AWS | Lectura | |||
| RetrieveMemoryRecords | Otorga permiso para recuperar registros de memoria mediante consultas semáticas | Enumeración | |||
| SetTokenVaultCMK | Otorga permiso para asociar una clave gestionada por el cliente (CMK) o una clave gestionada por el servicio a una clave específica TokenVault | Lectura | |||
| StartBrowserSession | Otorga permiso para iniciar una nueva sesión de navegador | Escritura | |||
| StartCodeInterpreterSession | Otorga permiso para iniciar una nueva sesión de intérprete de código | Escritura | |||
| StopBrowserSession | Otorga permiso para detener una sesión de navegador | Escritura | |||
| StopCodeInterpreterSession | Otorga permiso para detener una sesión de intérprete de código | Escritura | |||
| SynchronizeGatewayTargets [solo permiso] | Otorga permiso para habilitar la búsqueda en las pasarelas | Administración de permisos | |||
| UpdateAgentRuntime | Otorga permiso para actualizar el tiempo de ejecución de un agente | Escritura |
iam:PassRole |
||
| UpdateAgentRuntimeEndpoint | Otorga permiso para actualizar el punto final del tiempo de ejecución de un agente | Escritura | |||
| UpdateApiKeyCredentialProvider | Otorga permiso para actualizar un proveedor de credenciales de clave de API existente | Escritura | |||
| UpdateBrowserStream | Otorga permiso para actualizar el estado de la transmisión de la sesión del navegador | Escritura | |||
| UpdateGateway | Otorga permiso para actualizar una puerta de enlace existente | Escritura |
iam:PassRole |
||
| UpdateGatewayTarget | Otorga permiso para actualizar un destino de puerta de enlace existente | Escritura | |||
| UpdateMemory | Otorga permiso para actualizar un recurso de memoria | Escritura |
iam:PassRole |
||
| UpdateOauth2CredentialProvider | Otorga permiso para actualizar un proveedor de OAuth2 credenciales existente | Escritura | |||
| UpdateWorkloadIdentity | Otorga permiso para actualizar los metadatos de una identidad de carga de trabajo existente | Escritura | |||
Tipos de recursos definidos por Amazon Bedrock Agentcore
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| memory |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:memory/${MemoryId}
|
|
| gateway |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:gateway/${GatewayId}
|
|
| workload-identity |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}/workload-identity/${WorkloadIdentityName}
|
|
| oauth2credentialprovider |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/oauth2credentialprovider/${Name}
|
|
| apikeycredentialprovider |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/apikeycredentialprovider/${Name}
|
|
| runtime |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}
|
|
| runtime-endpoint |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}/runtime-endpoint/${Name}
|
|
| code-interpreter-custom |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:code-interpreter-custom/${CodeInterpreterId}
|
|
| code-interpreter |
arn:${Partition}:bedrock-agentcore:${Region}:aws:code-interpreter/${CodeInterpreterId}
|
|
| browser-custom |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:browser-custom/${BrowserId}
|
|
| browser |
arn:${Partition}:bedrock-agentcore:${Region}:aws:browser/${BrowserId}
|
|
| workload-identity-directory |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}
|
|
| token-vault |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}
|
Claves de estado de Amazon Bedrock Agentcore
Amazon Bedrock Agentcore define las siguientes claves de condición que se pueden utilizar en el Condition elemento de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte las claves de contexto de condición AWS globales.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| bedrock-agentcore:actorId | Filtra el acceso por ID de actor | Cadena |
| bedrock-agentcore:namespace | Filtra el acceso por espacio de nombres | Cadena |
| bedrock-agentcore:sessionId | Filtra el acceso por ID de sesión | Cadena |
| bedrock-agentcore:strategyId | Filtra el acceso por identificador de estrategia de memoria | Cadena |
