Exemples de politiques basées sur l'identité pour Amazon Bedrock Studio - Amazon Bedrock
Gérez les espaces de travailLimites d'autorisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de politiques basées sur l'identité pour Amazon Bedrock Studio

Vous trouverez ci-dessous des exemples de politiques pour Amazon Bedrock Studio.

Gérez les espaces de travail

Pour créer et gérer les espaces de travail Amazon Bedrock Studio et gérer les membres des espaces de travail, vous devez disposer des autorisations suivantesIAM.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datazone:CreateDomain",
        "datazone:ListDomains",
        "datazone:GetDomain",
        "datazone:UpdateDomain",
        "datazone:ListProjects",
        "datazone:ListTagsForResource",
        "datazone:UntagResource",
        "datazone:TagResource",
        "datazone:SearchUserProfiles",
        "datazone:SearchGroupProfiles",
        "datazone:UpdateGroupProfile",
        "datazone:UpdateUserProfile",
        "datazone:CreateUserProfile",
        "datazone:CreateGroupProfile",
        "datazone:PutEnvironmentBlueprintConfiguration",
        "datazone:ListEnvironmentBlueprints",
        "datazone:ListEnvironmentBlueprintConfigurations",
        "datazone:DeleteDomain"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:passedToService": "datazone.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:DescribeKey",
        "kms:Decrypt",
        "kms:CreateGrant",
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:ReEncrypt*",
        "kms:RetireGrant"
      ],
      "Resource": "kms key for domain"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListKeys",
        "kms:ListAliases"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListRoles",
        "iam:GetPolicy",
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicyVersion"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "sso:DescribeRegisteredRegions",
        "sso:ListProfiles",
        "sso:AssociateProfile",
        "sso:DisassociateProfile",
        "sso:GetProfile",
        "sso:ListInstances",
        "sso:CreateApplication",
        "sso:DeleteApplication",
        "sso:PutApplicationAssignmentConfiguration",
        "sso:PutApplicationGrant",
        "sso:PutApplicationAuthenticationMethod"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "bedrock:ListFoundationModels",
        "bedrock:ListProvisionedModelThroughputs",
        "bedrock:ListModelCustomizationJobs",
        "bedrock:ListCustomModels",
        "bedrock:ListTagsForResource",
        "bedrock:ListGuardrails",
        "bedrock:ListAgents",
        "bedrock:ListKnowledgeBases",
        "bedrock:GetFoundationModelAvailability"
      ],
      "Resource": "*"
    }
  ]
}

Limites d'autorisation

Cette politique est une limite d'autorisations. Une limite d'autorisations définit le nombre maximum d'autorisations qu'une politique basée sur l'identité peut accorder à un IAM principal. Vous ne devez pas utiliser et joindre vous-même les politiques de limites d'autorisation d'Amazon Bedrock Studio. Les politiques relatives aux limites des autorisations d'Amazon Bedrock Studio ne doivent être associées qu'aux rôles gérés par Amazon Bedrock Studio. Pour plus d'informations sur les limites des autorisations, consultez la section Limites des autorisations pour les IAM entités dans le Guide de IAM l'utilisateur.

Lorsque vous créez des projets, des applications et des composants Amazon Bedrock Studio, Amazon Bedrock Studio applique cette limite d'autorisations aux IAM rôles créés lors de la création de ces ressources.

Amazon Bedrock Studio utilise la politique AmazonDataZoneBedrockPermissionsBoundary gérée pour limiter les autorisations du IAM principal provisionné auquel il est rattaché. Les principaux peuvent prendre la forme de rôles d'utilisateur qu'Amazon DataZone peut assumer au nom des utilisateurs d'Amazon Bedrock Studio, puis effectuer des actions telles que lire et écrire des objets Amazon S3 ou invoquer des agents Amazon Bedrock.

La AmazonDataZoneBedrockPermissionsBoundary politique accorde à Amazon Bedrock Studio un accès en lecture et en écriture à des services tels qu'Amazon S3, Amazon Bedrock, Amazon OpenSearch Serverless et AWS Lambda. La politique accorde également des autorisations de lecture et d'écriture à certaines ressources d'infrastructure requises pour utiliser ces services, telles que AWS les secrets de Secrets Manager, les groupes de CloudWatch journaux Amazon et AWS KMS clés.

Cette politique comprend les ensembles d'autorisations suivants.

  • s3— Permet d'accéder en lecture et en écriture aux objets des compartiments Amazon S3 gérés par Amazon Bedrock Studio.

  • bedrock— Permet d'utiliser les agents, les bases de connaissances et les garde-corps Amazon Bedrock gérés par Amazon Bedrock Studio.

  • aoss— Permet API d'accéder aux collections Amazon OpenSearch Serverless gérées par Amazon Bedrock Studio.

  • lambda— Permet d'invoquer des fonctions AWS Lambda gérées par Amazon Bedrock Studio.

  • secretsmanager— Permet d'accéder en lecture et en écriture aux AWS secrets de Secrets Manager gérés par Amazon Bedrock Studio.

  • logs— Fournit un accès en écriture aux Amazon CloudWatch Logs gérés par Amazon Bedrock Studio.

  • kms— Permet d'utiliser des AWS KMS clés pour chiffrer les données Amazon Bedrock Studio.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessS3Buckets",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:ListBucketVersions",
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:GetObjectVersion",
        "s3:DeleteObjectVersion"
      ],
      "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "AccessOpenSearchCollections",
      "Effect": "Allow",
      "Action": "aoss:APIAccessAll",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "InvokeBedrockModels",
      "Effect": "Allow",
      "Action": [
        "bedrock:InvokeModel",
        "bedrock:InvokeModelWithResponseStream"
      ],
      "Resource": "arn:aws:bedrock:*::foundation-model/*"
    },
    {
      "Sid": "AccessBedrockResources",
      "Effect": "Allow",
      "Action": [
        "bedrock:InvokeAgent",
        "bedrock:Retrieve",
        "bedrock:StartIngestionJob",
        "bedrock:GetIngestionJob",
        "bedrock:ListIngestionJobs",
        "bedrock:ApplyGuardrail",
        "bedrock:ListPrompts",
        "bedrock:GetPrompt",
        "bedrock:CreatePrompt",
        "bedrock:DeletePrompt",
        "bedrock:CreatePromptVersion",
        "bedrock:InvokeFlow",
        "bedrock:ListTagsForResource",
        "bedrock:TagResource",
        "bedrock:UntagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/AmazonBedrockManaged": "true"
        },
        "Null": {
          "aws:ResourceTag/AmazonDataZoneProject": "false"
        }
      }
    },
    {
      "Sid": "RetrieveAndGenerate",
      "Effect": "Allow",
      "Action": "bedrock:RetrieveAndGenerate",
      "Resource": "*"
    },
    {
      "Sid": "WriteLogs",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/AmazonBedrockManaged": "true"
        },
        "Null": {
          "aws:ResourceTag/AmazonDataZoneProject": "false"
        }
      }
    },
    {
      "Sid": "InvokeLambdaFunctions",
      "Effect": "Allow",
      "Action": "lambda:InvokeFunction",
      "Resource": "arn:aws:lambda:*:*:function:br-studio-*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/AmazonBedrockManaged": "true"
        },
        "Null": {
          "aws:ResourceTag/AmazonDataZoneProject": "false"
        }
      }
    },
    {
      "Sid": "AccessSecretsManagerSecrets",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue"
      ],
      "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/AmazonBedrockManaged": "true"
        },
        "Null": {
          "aws:ResourceTag/AmazonDataZoneProject": "false"
        }
      }
    },
    {
      "Sid": "UseKmsKeyWithBedrock",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/EnableBedrock": "true"
        },
        "Null": {
          "kms:EncryptionContext:aws:bedrock:arn": "false"
        }
      }
    },
    {
      "Sid": "UseKmsKeyWithAwsServices",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}",
          "aws:ResourceTag/EnableBedrock": "true"
        },
        "StringLike": {
          "kms:ViaService": [
            "s3.*.amazonaws.com",
            "secretsmanager.*.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "GetDataZoneEnvCfnStacks",
      "Effect": "Allow",
      "Action": [
        "cloudformation:GetTemplate",
        "cloudformation:DescribeStacks"
      ],
      "Resource": "arn:aws:cloudformation:*:*:stack/DataZone-Env-*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        },
        "Null": {
          "aws:ResourceTag/AmazonDataZoneProject": "false"
        }
      }
    }
  ]
}