Berikan izin IAM untuk meminta akses ke model foundation Amazon Bedrock dengan ID produk - Amazon Bedrock
Mencegah identitas meminta akses ke model dengan ID produkMencegah identitas menggunakan model setelah akses telah diberikan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berikan izin IAM untuk meminta akses ke model foundation Amazon Bedrock dengan ID produk

Akses ke model foundation tanpa server Amazon Bedrock dengan ID produk dikendalikan oleh tindakan IAM berikut:

Tindakan IAM Deskripsi Berlaku untuk model mana
AWS-MarketPlace: Berlangganan

Memungkinkan entitas IAM untuk berlangganan AWS Marketplace produk, termasuk model yayasan Amazon Bedrock.

 Hanya model tanpa server Amazon Bedrock yang memiliki ID produk di. AWS Marketplace
AWS-MarketPlace: berhenti berlangganan Memungkinkan identitas IAM untuk berhenti berlangganan dari AWS Marketplace produk, termasuk model yayasan Amazon Bedrock. Hanya model tanpa server Amazon Bedrock yang memiliki ID produk di. AWS Marketplace
aws-pasar: ViewSubscriptions Memungkinkan identitas IAM mengembalikan daftar AWS Marketplace produk, termasuk model fondasi Amazon Bedrock. Hanya model tanpa server Amazon Bedrock yang memiliki ID produk di. AWS Marketplace
catatan

Hanya untuk aws-marketplace:Subscribe tindakan, Anda dapat menggunakan tombol aws-marketplace:ProductId kondisi untuk membatasi langganan ke model tertentu.

Untuk identitas IAM untuk meminta akses ke model dengan ID produk

Identitas harus memiliki kebijakan terlampir yang memungkinkanaws-marketplace:Subscribe.

catatan

Jika identitas telah berlangganan model di satu AWS Wilayah, model menjadi tersedia untuk identitas untuk meminta akses di semua AWS Wilayah di mana model tersedia, bahkan jika aws-marketplace:Subscribe ditolak untuk Wilayah lain.

Pilih bagian untuk melihat contoh kebijakan IAM untuk kasus penggunaan tertentu:

Mencegah identitas meminta akses ke model dengan ID produk

Untuk mencegah entitas IAM meminta akses ke model tertentu yang memiliki ID produk, lampirkan kebijakan IAM kepada pengguna yang menolak aws-marketplace:Subscribe tindakan dan cakupan Condition bidang ke ID produk model.

Misalnya, Anda dapat melampirkan kebijakan berikut ke identitas untuk mencegahnya berlangganan Anthropic Claude 3.5 Sonnet model:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        }
    ]
}
catatan

Dengan kebijakan ini, entitas IAM akan memiliki akses ke model yang baru ditambahkan secara default.

Jika identitas telah berlangganan model di setidaknya satu Wilayah, kebijakan ini tidak mencegah akses di Wilayah lain. Sebagai gantinya, Anda dapat mencegah penggunaannya dengan melihat contoh diMencegah identitas menggunakan model setelah akses telah diberikan.

Mencegah identitas menggunakan model setelah akses telah diberikan

Jika identitas IAM telah diberikan akses ke model, Anda dapat mencegah penggunaan model dengan menolak semua tindakan Amazon Bedrock dan melingkupi bidang Resource ke ARN model pondasi.

Misalnya, Anda dapat melampirkan kebijakan berikut ke identitas untuk mencegahnya menggunakan Anthropic Claude 3.5 Sonnet model di semua AWS Wilayah:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
            ]
        }
    ]
}