Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques basées sur une identité pour Amazon Bedrock
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ni à modifier des ressources Amazon Bedrock. Ils ne peuvent pas non plus effectuer de tâches en utilisant le AWS Management Console, AWS Command Line Interface (AWS CLI) ou AWS API. Pour autoriser les utilisateurs à effectuer des actions sur les ressources dont ils ont besoin, un IAM administrateur peut créer des IAM politiques. L'administrateur peut ensuite ajouter les IAM politiques aux rôles, et les utilisateurs peuvent assumer les rôles.
Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de JSON stratégie, consultez la section Création de IAM politiques dans le guide de l'IAMutilisateur.
Pour plus de détails sur les actions et les types de ressources définis par Amazon Bedrock, y compris le ARNs format de chaque type de ressource, consultez la section Actions, ressources et clés de condition pour Amazon Bedrock dans la référence d'autorisation de service.
Rubriques
- Bonnes pratiques en matière de politiques
- Utilisation de la console Amazon Bedrock
- Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
- Autorisation de l’accès aux abonnements de modèles tiers
- Refus de l’accès à des fins d’inférence sur des modèles spécifiques
- Exemples de politiques basées sur l'identité pour Agents for Amazon Bedrock
- Exemples de politiques basées sur l'identité pour le débit provisionné
- Exemples de politiques basées sur l'identité pour Amazon Bedrock Studio
Bonnes pratiques en matière de politiques
Les politiques basées sur l’identité déterminent si une personne peut créer, consulter ou supprimer des ressources Amazon Bedrock dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
-
Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d'informations, consultez les politiques AWS gérées ou les politiques AWS gérées pour les fonctions professionnelles dans le Guide de IAM l'utilisateur.
-
Appliquer les autorisations du moindre privilège : lorsque vous définissez des autorisations à IAM l'aide de politiques, accordez uniquement les autorisations nécessaires à l'exécution d'une tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d'informations sur l'utilisation IAM pour appliquer des autorisations, consultez la section Politiques et autorisations du Guide de IAM l'utilisateur. IAM
-
Utilisez des conditions dans IAM les politiques pour restreindre davantage l'accès : vous pouvez ajouter une condition à vos politiques pour limiter l'accès aux actions et aux ressources. Par exemple, vous pouvez rédiger une condition de politique pour spécifier que toutes les demandes doivent être envoyées en utilisantSSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique service AWS, tel que AWS CloudFormation. Pour plus d'informations, voir Éléments IAM JSON de politique : Condition dans le guide de IAM l'utilisateur.
-
Utilisez IAM Access Analyzer pour valider vos IAM politiques afin de garantir des autorisations sécurisées et fonctionnelles. IAM Access Analyzer valide les politiques nouvelles et existantes afin qu'elles respectent le langage des politiques (JSON) et IAM les IAM meilleures pratiques. IAMAccess Analyzer fournit plus de 100 vérifications des politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d'informations, consultez la section Validation des politiques d'IAMAccess Analyzer dans le guide de IAM l'utilisateur.
-
Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des IAM utilisateurs ou un utilisateur root Compte AWS, activez-le MFA pour une sécurité supplémentaire. Pour exiger le MFA moment où les API opérations sont appelées, ajoutez MFA des conditions à vos politiques. Pour plus d'informations, consultez la section Configuration de l'APIaccès MFA protégé dans le Guide de l'IAMutilisateur.
Pour plus d'informations sur les meilleures pratiques en matière de sécuritéIAM, consultez la section Bonnes pratiques en matière de sécurité IAM dans le Guide de IAM l'utilisateur.
Utilisation de la console Amazon Bedrock
Pour accéder à la console Amazon Bedrock, vous devez disposer d’un ensemble minimum d’autorisations. Ces autorisations doivent vous permettre de répertorier et de consulter les informations relatives aux ressources Amazon Bedrock présentes dans votre Compte AWS. Si vous créez une stratégie basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette stratégie.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement le AWS CLI ou le AWS API. Au lieu de cela, autorisez uniquement l'accès aux actions correspondant à l'APIopération qu'ils tentent d'effectuer.
Pour garantir que les utilisateurs et les rôles peuvent toujours utiliser la console Amazon Bedrock, associez également Amazon Bedrock AmazonBedrockFullAccessou la politique AmazonBedrockReadOnly AWS gérée aux entités. Pour plus d'informations, consultez la section Ajouter des autorisations à un utilisateur dans le Guide de IAM l'utilisateur.
Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux IAM utilisateurs de consulter les politiques intégrées et gérées associées à leur identité d'utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide du AWS CLI ou. AWS API
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Autorisation de l’accès aux abonnements de modèles tiers
Pour accéder aux modèles Amazon Bedrock pour la première fois, vous devez utiliser la console Amazon Bedrock afin de vous abonner à des modèles tiers. Votre IAM utilisateur ou votre rôle nécessite une autorisation pour accéder aux API opérations d'abonnement.
Pour l'aws-marketplace:Subscribeaction uniquement, vous pouvez utiliser la clé de aws-marketplace:ProductId condition pour restreindre l'abonnement à des modèles spécifiques. Pour voir la liste des produits IDs et les modèles de base auxquels ils correspondent, consultez le tableau dansAutorisations d'accès au modèle de contrôle.
Note
L'Amazon et Titan Mistral AI les Meta Llama 3 Instruct modèles n'ont pas de produitIDs, vous ne pouvez donc pas restreindre l'abonnement à ces modèles.
L'exemple suivant montre une politique basée sur l'identité permettant à un rôle de s'abonner aux modèles de fondation Amazon Bedrock répertoriés dans le Condition champ, de se désabonner et de consulter les abonnements aux modèles de fondation :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:Subscribe" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws-marketplace:ProductId": [ "1d288c71-65f9-489a-a3e2-9c7f4f6e6a85", "cc0bdd50-279a-40d8-829c-4009b77a1fcc", "c468b48a-84df-43a4-8c46-8870630108a7", "99d90be8-b43e-49b7-91e4-752f3866c8c7", "b0eb9475-3a2c-43d1-94d3-56756fd43737", "d0123e8d-50d6-4dba-8a26-3fed4899f388", "a61c46fe-1747-41aa-9af0-2e0ae8a9ce05", "216b69fd-07d5-4c7b-866b-936456d68311", "b7568428-a1ab-46d8-bab3-37def50f6f6a", "38e55671-c3fe-4a44-9783-3584906e7cad", "prod-ariujvyzvd2qy", "prod-2c2yc2s3guhqy", "prod-6dw3qvchef7zy", "prod-ozonys2hmmpeu", "prod-fm3feywmwerog", "prod-tukx4z3hrewle", "prod-nb4wqmplze2pm", "prod-m5ilt4siql27k" ] } } }, { "Effect": "Allow", "Action": [ "aws-marketplace:Unsubscribe", "aws-marketplace:ViewSubscriptions" ], "Resource": "*" } ] }
Refus de l’accès à des fins d’inférence sur des modèles spécifiques
L’exemple suivant illustre une politique basée sur l’identité qui refuse l’accès pour l’exécution de l’inférence sur un modèle spécifique. Pour une liste des modèlesIDs, voirModèle Amazon Bedrock IDs.
{ "Version": "2012-10-17", "Statement": { "Sid": "DenyInference", "Effect": "Deny", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "arn:aws:bedrock:*::foundation-model/model-id" } }
