Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour Amazon Bedrock
Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser AWS des politiques gérées plutôt que d'écrire des politiques vous-même. Il faut du temps et de l'expertise pour créer des politiques gérées par les IAM clients qui fournissent à votre équipe uniquement les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser notre AWS politiques gérées. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre Compte AWS. Pour plus d'informations sur AWS politiques gérées, voir AWS politiques gérées dans le guide de IAM l'utilisateur.
AWS maintenance et mise à jour des services AWS politiques gérées. Vous ne pouvez pas modifier les autorisations dans AWS politiques gérées. Les services ajoutent parfois des autorisations supplémentaires à un AWS politique gérée pour prendre en charge les nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont les plus susceptibles de mettre à jour un AWS politique gérée lorsqu'une nouvelle fonctionnalité est lancée ou lorsque de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'un AWS politique gérée, afin que les mises à jour des politiques n'enfreignent pas vos autorisations existantes.
De plus, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, le ReadOnlyAccess AWS la politique gérée fournit un accès en lecture seule à tous AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir une liste et une description des politiques relatives aux fonctions professionnelles, voir AWS politiques gérées pour les fonctions professionnelles dans le guide de IAM l'utilisateur.
Rubriques
AWS politique gérée : AmazonBedrockFullAccess
Vous pouvez associer la AmazonBedrockFullAccess politique à votre IAM identité.
Cette politique accorde des autorisations administratives qui permettent à l’utilisateur de créer, lire, mettre à jour et supprimer des ressources Amazon Bedrock.
Note
L’affinement et l’accès aux modèles nécessitent des autorisations supplémentaires. Pour plus d’informations, consultez Autorisation de l’accès aux abonnements de modèles tiers et Autorisations d'accès aux fichiers de formation et de validation et d'écriture de fichiers de sortie dans S3.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes :
-
ec2(Amazon Elastic Compute Cloud) — Autorise les autorisations pour décrire VPCs les sous-réseaux et les groupes de sécurité. -
iam(AWS Identity and Access Management) — Permet aux principaux de transmettre des rôles, mais autorise uniquement IAM les rôles contenant « Amazon Bedrock » à être transmis au service Amazon Bedrock. Les autorisations sont limitées àbedrock.amazonaws.compour les opérations Amazon Bedrock. -
kms(AWS Service de gestion des clés) — Permet aux principaux de décrire AWS KMS clés et alias. -
bedrock(Amazon Bedrock) : permet aux principaux d’accéder en lecture et en écriture à toutes les actions du plan de contrôle et du service d’exécution Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BedrockAll", "Effect": "Allow", "Action": [ "bedrock:*" ], "Resource": "*" }, { "Sid": "DescribeKey", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:*:kms:*:::*" }, { "Sid": "APIsWithAllResourceAccess", "Effect": "Allow", "Action": [ "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "PassRoleToBedrock", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonBedrock*", "Condition": { "StringEquals": { "iam:PassedToService": [ "bedrock.amazonaws.com" ] } } } ] }
AWS politique gérée : AmazonBedrockReadOnly
Vous pouvez associer la AmazonBedrockReadOnly politique à votre IAM identité.
Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de consulter toutes les ressources dans Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonBedrockReadOnly", "Effect": "Allow", "Action": [ "bedrock:GetFoundationModel", "bedrock:ListFoundationModels", "bedrock:ListTagsForResource", "bedrock:GetFoundationModelAvailability", "bedrock:GetModelInvocationLoggingConfiguration", "bedrock:GetProvisionedModelThroughput", "bedrock:ListProvisionedModelThroughputs", "bedrock:GetModelCustomizationJob", "bedrock:ListModelCustomizationJobs", "bedrock:ListCustomModels", "bedrock:GetCustomModel", "bedrock:GetModelInvocationJob", "bedrock:ListModelInvocationJobs", "bedrock:GetGuardrail", "bedrock:ListGuardrails", "bedrock:GetEvaluationJob", "bedrock:ListEvaluationJobs", "bedrock:GetInferenceProfile", "bedrock:ListInferenceProfiles" ], "Resource": "*" } ] }
AWS politique gérée : AmazonBedrockStudioPermissionsBoundary
Note
Cette politique est une limite d'autorisations. Une limite d'autorisations définit le nombre maximum d'autorisations qu'une politique basée sur l'identité peut accorder à un IAM principal. Vous ne devez pas utiliser et joindre vous-même les politiques de limites d'autorisation d'Amazon Bedrock Studio. Les politiques relatives aux limites des autorisations d'Amazon Bedrock Studio ne doivent être associées qu'aux rôles gérés par Amazon Bedrock Studio. Pour plus d'informations sur les limites des autorisations, consultez la section Limites des autorisations pour les IAM entités dans le Guide de IAM l'utilisateur.
-
La version actuelle d'Amazon Bedrock Studio s'attend toujours à ce qu'une politique similaire nommée
AmazonDataZoneBedrockPermissionsBoundaryexiste dans votre AWS . Pour de plus amples informations, veuillez consulter Étape 2 : créer une limite d'autorisations, un rôle de service et un rôle de provisionnement.
Lorsque vous créez des projets, des applications et des composants Amazon Bedrock Studio, Amazon Bedrock Studio applique cette limite d'autorisations aux IAM rôles créés lors de la création de ces ressources.
Amazon Bedrock Studio utilise la politique AmazonBedrockStudioPermissionsBoundary gérée pour limiter les autorisations du IAM principal provisionné auquel il est rattaché. Les principaux peuvent prendre la forme de rôles d'utilisateur qu'Amazon DataZone peut assumer au nom des utilisateurs d'Amazon Bedrock Studio, puis effectuer des actions telles que lire et écrire des objets Amazon S3 ou invoquer des agents Amazon Bedrock.
La AmazonBedrockStudioPermissionsBoundary politique accorde à Amazon Bedrock Studio un accès en lecture et en écriture à des services tels qu'Amazon S3, Amazon Bedrock, Amazon OpenSearch Serverless et AWS Lambda. La politique accorde également des autorisations de lecture et d'écriture à certaines ressources d'infrastructure requises pour utiliser ces services, telles que AWS les secrets de Secrets Manager, les groupes de CloudWatch journaux Amazon et AWS KMS clés.
Cette politique comprend les ensembles d'autorisations suivants.
s3— Permet d'accéder en lecture et en écriture aux objets des compartiments Amazon S3 gérés par Amazon Bedrock Studio.bedrock— Permet d'utiliser les agents, les bases de connaissances et les garde-corps Amazon Bedrock gérés par Amazon Bedrock Studio.aoss— Permet API d'accéder aux collections Amazon OpenSearch Serverless gérées par Amazon Bedrock Studio.lambda— Permet d'invoquer AWS Lambda fonctions gérées par Amazon Bedrock Studio.secretsmanager— Permet d'accéder en lecture et en écriture aux AWS secrets de Secrets Manager gérés par Amazon Bedrock Studio.logs— Fournit un accès en écriture aux Amazon CloudWatch Logs gérés par Amazon Bedrock Studio.kms— Accorde l'accès à l'utilisation AWS clés pour chiffrer les données Amazon Bedrock Studio.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessS3Buckets", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListBucketVersions", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:DeleteObjectVersion" ], "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AccessOpenSearchCollections", "Effect": "Allow", "Action": "aoss:APIAccessAll", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "InvokeBedrockModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "arn:aws:bedrock:*::foundation-model/*" }, { "Sid": "AccessBedrockResources", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent", "bedrock:Retrieve", "bedrock:StartIngestionJob", "bedrock:GetIngestionJob", "bedrock:ListIngestionJobs", "bedrock:ApplyGuardrail", "bedrock:ListPrompts", "bedrock:GetPrompt", "bedrock:CreatePrompt", "bedrock:DeletePrompt", "bedrock:CreatePromptVersion", "bedrock:InvokeFlow", "bedrock:ListTagsForResource", "bedrock:TagResource", "bedrock:UntagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "RetrieveAndGenerate", "Effect": "Allow", "Action": "bedrock:RetrieveAndGenerate", "Resource": "*" }, { "Sid": "WriteLogs", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "InvokeLambdaFunctions", "Effect": "Allow", "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:*:*:function:br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "AccessSecretsManagerSecrets", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "UseKmsKeyWithBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "Null": { "kms:EncryptionContext:aws:bedrock:arn": "false" } } }, { "Sid": "UseKmsKeyWithAwsServices", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com", "secretsmanager.*.amazonaws.com" ] } } } ] }
Amazon Bedrock met à jour AWS stratégies gérées
Afficher les détails des mises à jour de AWS politiques gérées pour Amazon Bedrock depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil d'actualité sur leHistorique du guide de l’utilisateur Amazon Bedrock.
| Modification | Description | Date |
|---|---|---|
|
AmazonBedrockReadOnly— Politique mise à jour |
Amazon Bedrock a ajouté des autorisations en lecture seule au profil d'inférence. |
27 août 2024 |
|
AmazonBedrockReadOnly— Politique mise à jour |
Amazon Bedrock a mis à jour la AmazonBedrockReadOnly politique afin d'inclure des autorisations en lecture seule pour Amazon Bedrock Guardrails, l'évaluation du modèle Amazon Bedrock et l'inférence Amazon Bedrock Batch. |
21 août 2024 |
|
AmazonBedrockReadOnly— Politique mise à jour |
Amazon Bedrock a ajouté des autorisations en lecture seule pour l'inférence par lots (tâche d'invocation de modèles). |
21 août 2024 |
|
AmazonBedrockStudioPermissionsBoundary – Nouvelle politique |
Amazon Bedrock a publié la première version de cette politique. |
31 juillet 2024 |
|
AmazonBedrockFullAccess – Nouvelle politique |
Amazon Bedrock a ajouté une nouvelle politique pour autoriser les utilisateurs à créer, lire, mettre à jour et supprimer des ressources. |
12 décembre 2023 |
|
AmazonBedrockReadOnly – Nouvelle politique |
Amazon Bedrock a ajouté une nouvelle politique pour accorder aux utilisateurs des autorisations en lecture seule pour toutes les actions. |
12 décembre 2023 |
|
Amazon Bedrock a commencé à assurer le suivi des modifications |
Amazon Bedrock a commencé à suivre les modifications apportées à son AWS politiques gérées. |
12 décembre 2023 |
