IAM policies for Amazon Bedrockappels dans Step Functions

Lorsque vous créez une machine d'état à l'aide de la console, un rôle d'exécution est Step Functions automatiquement créé pour votre machine d'état avec le moins de privilèges requis. Ces IAM rôles générés automatiquement sont valides pour la machine à états Région AWS dans laquelle vous créez la machine à états.

Les exemples de modèles suivants montrent comment AWS Step Functions générer des IAM politiques basées sur les ressources de votre définition de machine à états. Pour plus d’informations, consultez Comment Step Functions génère IAM des politiques pour les services intégrés et Découvrez les modèles d'intégration des services dans Step Functions.

Lorsque vous créez des IAM politiques, nous vous recommandons de ne pas y inclure de caractères génériques. En tant que bonne pratique en matière de sécurité, vous devez limiter autant que possible vos politiques. Vous ne devez utiliser des politiques dynamiques que lorsque certains paramètres d'entrée ne sont pas connus pendant l'exécution.

Dans cette rubrique

Exemples de stratégies IAM

IAMexemples de politiques pour Amazon Bedrock l'intégration avec Step Functions

La section suivante décrit les IAM autorisations dont vous avez besoin en fonction de celles Amazon Bedrock API que vous utilisez pour une fondation ou un modèle provisionné spécifique. Cette section contient également des exemples de politiques qui accordent un accès complet.

N'oubliez pas de remplacer le italicized texte contenant les informations spécifiques à votre ressource.

IAMexemple de politique pour accéder à un modèle de fondation spécifique en utilisant InvokeModel
IAMexemple de politique pour accéder à un modèle provisionné spécifique en utilisant InvokeModel
Exemple de IAM politique d'accès complet à utiliser InvokeModel
IAMexemple de politique pour accéder à un modèle de fondation spécifique en tant que modèle de base
IAMexemple de politique pour accéder à un modèle personnalisé spécifique en tant que modèle de base
Exemple de IAM politique d'accès complet pour utiliser CreateModelCustomizationJob .sync
IAMexemple de politique pour accéder à un modèle de base spécifique à l'aide de CreateModelCustomizationJob .sync
IAMexemple de politique pour accéder à un modèle personnalisé à l'aide de CreateModelCustomizationJob .sync
Exemple de IAM politique d'accès complet pour utiliser CreateModelCustomizationJob .sync

IAMexemple de politique pour accéder à un modèle de fondation spécifique en utilisant InvokeModel

Voici un exemple de IAM politique pour une machine à états qui accède à un modèle de base spécifique nommé à amazon.titan-text-express-v1 l'aide de l'InvokeModelAPIaction.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Sid": "InvokeModel1",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2::foundation-model/amazon.titan-text-express-v1"
            ]
        }
    ]
}

IAMexemple de politique pour accéder à un modèle provisionné spécifique en utilisant InvokeModel

Voici un exemple de IAM politique pour une machine à états qui accède à un modèle provisionné spécifique nommé à c2oi931ulksx l'aide de l'InvokeModelAPIaction.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Sid": "InvokeModel1",
      "Action": [
        "bedrock:InvokeModel"
      ],
      "Resource": [
        "arn:aws:bedrock:us-east-2:123456789012:provisioned-model/c2oi931ulksx"
      ]
    }
  ]
}

Exemple de IAM politique d'accès complet à utiliser InvokeModel

Voici un exemple de IAM politique pour une machine à états qui fournit un accès complet lorsque vous utilisez l'InvokeModelAPIaction.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Sid": "InvokeModel1",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2::foundation-model/*",
                "arn:aws:bedrock:us-east-2:123456789012:provisioned-model/*"
            ]
        }
    ]
}

IAMexemple de politique pour accéder à un modèle de fondation spécifique en tant que modèle de base

Voici un exemple de IAM politique permettant à une machine à états d'accéder à un modèle de base spécifique amazon.titan-text-express-v1 nommé modèle de base à l'aide de l'CreateModelCustomizationJobAPIaction.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Sid": "CreateModelCustomizationJob1",
            "Action": [
                "bedrock:CreateModelCustomizationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2::foundation-model/amazon.titan-text-express-v1",
                "arn:aws:bedrock:us-east-2:123456789012:custom-model/*",
                "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*"
            ]
        },
        {
            "Effect": "Allow",
            "Sid": "CreateModelCustomizationJob2",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::123456789012:role/myRole"            
            ]
        }
    ] 
}

IAMexemple de politique pour accéder à un modèle personnalisé spécifique en tant que modèle de base

Voici un exemple de IAM politique permettant à une machine à états d'accéder à un modèle personnalisé spécifique en tant que modèle de base à l'aide de l'CreateModelCustomizationJobAPIaction.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Sid": "CreateModelCustomizationJob1",
            "Action": [
                "bedrock:CreateModelCustomizationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2:123456789012:custom-model/*",
                "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*"
            ]
        },
        {
            "Effect": "Allow",
            "Sid": "CreateModelCustomizationJob2",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::123456789012:role/[[roleName]]"            
            ]
        }
    ] 
}

Exemple de IAM politique d'accès complet pour utiliser CreateModelCustomizationJob .sync

Voici un exemple de IAM politique pour une machine à états qui fournit un accès complet lorsque vous utilisez l'CreateModelCustomizationJobAPIaction.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Sid": "CreateModelCustomizationJob1",
            "Action": [
                "bedrock:CreateModelCustomizationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2::foundation-model/*",
                "arn:aws:bedrock:us-east-2:123456789012:custom-model/*",
                "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*"
            ]
        },
        {
            "Effect": "Allow",
            "Sid": "CreateModelCustomizationJob2",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::123456789012:role/myRole"            
            ]
        }
    ] 
}

IAMexemple de politique pour accéder à un modèle de base spécifique à l'aide de CreateModelCustomizationJob .sync

Voici un exemple de IAM politique permettant à une machine à états d'accéder à un modèle de base spécifique nommé à amazon.titan-text-express-v1 l'aide de l'APIaction CreateModelCustomizationJob.sync.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Sid": "CreateModelCustomizationJob1",
            "Action": [
                "bedrock:CreateModelCustomizationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2::foundation-model/amazon.titan-text-express-v1",
                "arn:aws:bedrock:us-east-2:123456789012:custom-model/*",
                "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*"
            ]
        },
        {
            "Effect": "Allow",
            "Sid": "CreateModelCustomizationJob2",
            "Action": [
                "bedrock:GetModelCustomizationJob",
                "bedrock:StopModelCustomizationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*"
            ]
        },
        {
            "Effect": "Allow",
            "Sid": "CreateModelCustomizationJob3",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::123456789012:role/myRole"            
            ]
        }
    ]
}

IAMexemple de politique pour accéder à un modèle personnalisé à l'aide de CreateModelCustomizationJob .sync

Voici un exemple de IAM politique permettant à une machine d'état d'accéder à un modèle personnalisé à l'aide de l'APIaction CreateModelCustomizationJob.sync.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Sid": "CreateModelCustomizationJob1",
            "Action": [
                "bedrock:CreateModelCustomizationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2:123456789012:custom-model/*",
                "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*"
            ]
        },
        {
            "Effect": "Allow",
            "Sid": "CreateModelCustomizationJob2",
            "Action": [
                "bedrock:GetModelCustomizationJob",
                "bedrock:StopModelCustomizationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*"
            ]
        },
        {
            "Effect": "Allow",
            "Sid": "CreateModelCustomizationJob3",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::123456789012:role/myRole"            
            ]
        }
    ]
}

Exemple de IAM politique d'accès complet pour utiliser CreateModelCustomizationJob .sync

Voici un exemple de IAM politique pour une machine à états qui fournit un accès complet lorsque vous utilisez l'APIaction CreateModelCustomizationJob.sync.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Sid": "CreateModelCustomizationJob1",
            "Action": [
                "bedrock:CreateModelCustomizationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2::foundation-model/*",
                "arn:aws:bedrock:us-east-2:123456789012:custom-model/*",
                "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*"
            ]
        },
        {
            "Effect": "Allow",
            "Sid": "CreateModelCustomizationJob2",
            "Action": [
                "bedrock:GetModelCustomizationJob",
                "bedrock:StopModelCustomizationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2:123456789012:model-customization-job/*"
            ]
        },
        {
            "Effect": "Allow",
            "Sid": "CreateModelCustomizationJob3",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::123456789012:role/myRole"            
            ]
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS Batch

AWS CodeBuild