AWS kebijakan terkelola untuk Amazon Bedrock - Amazon Bedrock

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk Amazon Bedrock

Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah digunakan AWS mengelola kebijakan daripada menulis kebijakan sendiri. Butuh waktu dan keahlian untuk membuat kebijakan terkelola IAM pelanggan yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan AWS kebijakan terkelola. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di Akun AWS. Untuk informasi lebih lanjut tentang AWS kebijakan terkelola, lihat AWS kebijakan terkelola dalam Panduan IAM Pengguna.

AWS layanan memelihara dan memperbarui AWS kebijakan terkelola. Anda tidak dapat mengubah izin di AWS kebijakan terkelola. Layanan terkadang menambahkan izin tambahan ke AWS kebijakan terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui AWS kebijakan terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari AWS kebijakan terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Sebagai contoh, ReadOnlyAccess AWS kebijakan terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS menambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk daftar dan deskripsi kebijakan fungsi pekerjaan, lihat AWS kebijakan terkelola untuk fungsi pekerjaan di Panduan IAM Pengguna.

AWS kebijakan terkelola: AmazonBedrockFullAccess

Anda dapat melampirkan AmazonBedrockFullAccess kebijakan ke IAM identitas Anda.

Kebijakan ini memberikan izin administratif yang memungkinkan izin pengguna untuk membuat, membaca, memperbarui, dan menghapus sumber daya Amazon Bedrock.

catatan

Penyetelan halus dan akses model memerlukan izin tambahan. Lihat Izinkan akses ke langganan model pihak ketiga dan Izin untuk mengakses file pelatihan dan validasi dan untuk menulis file output di S3 untuk informasi lebih lanjut.

Detail izin

Kebijakan ini mencakup izin berikut:

  • ec2(Amazon Elastic Compute Cloud) — Memungkinkan izin untuk mendeskripsikanVPCs, subnet, dan grup keamanan.

  • iam (AWS Identity and Access Management) — Memungkinkan prinsipal untuk lulus peran, tetapi hanya mengizinkan IAM peran dengan “Amazon Bedrock” di dalamnya untuk diteruskan ke layanan Amazon Bedrock. Izin dibatasi bedrock.amazonaws.com untuk operasi Amazon Bedrock.

  • kms (AWS Layanan Manajemen Kunci) - Memungkinkan kepala sekolah untuk mendeskripsikan AWS KMS kunci dan alias.

  • bedrock(Amazon Bedrock) - Memungkinkan kepala sekolah membaca dan menulis akses ke semua tindakan di bidang kontrol Amazon Bedrock dan layanan runtime.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "BedrockAll", "Effect": "Allow", "Action": [ "bedrock:*" ], "Resource": "*" }, { "Sid": "DescribeKey", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:*:kms:*:::*" }, { "Sid": "APIsWithAllResourceAccess", "Effect": "Allow", "Action": [ "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "PassRoleToBedrock", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonBedrock*", "Condition": { "StringEquals": { "iam:PassedToService": [ "bedrock.amazonaws.com" ] } } } ] }

AWS kebijakan terkelola: AmazonBedrockReadOnly

Anda dapat melampirkan AmazonBedrockReadOnly kebijakan ke IAM identitas Anda.

Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna melihat semua sumber daya di Amazon Bedrock.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonBedrockReadOnly", "Effect": "Allow", "Action": [ "bedrock:GetFoundationModel", "bedrock:ListFoundationModels", "bedrock:ListTagsForResource", "bedrock:GetFoundationModelAvailability", "bedrock:GetModelInvocationLoggingConfiguration", "bedrock:GetProvisionedModelThroughput", "bedrock:ListProvisionedModelThroughputs", "bedrock:GetModelCustomizationJob", "bedrock:ListModelCustomizationJobs", "bedrock:ListCustomModels", "bedrock:GetCustomModel", "bedrock:GetModelInvocationJob", "bedrock:ListModelInvocationJobs", "bedrock:GetGuardrail", "bedrock:ListGuardrails", "bedrock:GetEvaluationJob", "bedrock:ListEvaluationJobs", "bedrock:GetInferenceProfile", "bedrock:ListInferenceProfiles" ], "Resource": "*" } ] }

AWS kebijakan terkelola: AmazonBedrockStudioPermissionsBoundary

catatan
  • Kebijakan ini adalah batas izin. Batas izin menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada prinsipal. IAM Anda tidak boleh menggunakan dan melampirkan kebijakan batas izin Amazon Bedrock Studio sendiri. Kebijakan batas izin Amazon Bedrock Studio hanya boleh dilampirkan ke peran terkelola Amazon Bedrock Studio. Untuk informasi selengkapnya tentang batas izin, lihat Batas izin untuk IAM entitas di IAM Panduan Pengguna.

  • Versi Amazon Bedrock Studio saat ini terus mengharapkan kebijakan serupa bernama ada di AmazonDataZoneBedrockPermissionsBoundary Anda AWS akun. Untuk informasi selengkapnya, lihat Langkah 2: Buat batas izin, peran layanan, dan peran penyediaan.

Saat Anda membuat proyek, aplikasi, dan komponen Amazon Bedrock Studio, Amazon Bedrock Studio menerapkan batas izin ini ke IAM peran yang dihasilkan saat membuat sumber daya tersebut.

Amazon Bedrock Studio menggunakan kebijakan AmazonBedrockStudioPermissionsBoundary terkelola untuk membatasi izin dari IAM prinsipal yang disediakan yang dilampirkan. Prinsipal mungkin mengambil bentuk peran pengguna yang DataZone dapat diasumsikan Amazon atas nama pengguna Amazon Bedrock Studio, dan kemudian melakukan tindakan seperti membaca dan menulis objek Amazon S3 atau memanggil agen Amazon Bedrock.

AmazonBedrockStudioPermissionsBoundaryKebijakan ini memberikan akses baca dan tulis untuk Amazon Bedrock Studio ke layanan seperti Amazon S3, Amazon Bedrock, Amazon Tanpa Server, OpenSearch dan AWS Lambda. Kebijakan ini juga memberikan izin baca dan tulis ke beberapa sumber daya infrastruktur yang diperlukan untuk menggunakan layanan ini seperti AWS rahasia Secrets Manager, grup CloudWatch log Amazon, dan AWS KMS kunci.

Kebijakan ini terdiri dari kumpulan izin berikut.

  • s3— Memungkinkan akses baca dan tulis ke objek di bucket Amazon S3 yang dikelola oleh Amazon Bedrock Studio.

  • bedrock— Memberikan kemampuan untuk menggunakan agen Amazon Bedrock, basis pengetahuan, dan pagar pembatas yang dikelola oleh Amazon Bedrock Studio.

  • aoss— Memungkinkan API akses ke koleksi Amazon OpenSearch Tanpa Server yang dikelola oleh Amazon Bedrock Studio.

  • lambda— Memberikan kemampuan untuk memohon AWS Lambda fungsi yang dikelola oleh Amazon Bedrock Studio.

  • secretsmanager— Memungkinkan akses baca dan tulis ke AWS rahasia Secrets Manager yang dikelola oleh Amazon Bedrock Studio.

  • logs— Menyediakan akses tulis ke Amazon CloudWatch Log yang dikelola oleh Amazon Bedrock Studio.

  • kms— Memberikan akses untuk digunakan AWS kunci untuk mengenkripsi data Amazon Bedrock Studio.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessS3Buckets", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListBucketVersions", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:DeleteObjectVersion" ], "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AccessOpenSearchCollections", "Effect": "Allow", "Action": "aoss:APIAccessAll", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "InvokeBedrockModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "arn:aws:bedrock:*::foundation-model/*" }, { "Sid": "AccessBedrockResources", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent", "bedrock:Retrieve", "bedrock:StartIngestionJob", "bedrock:GetIngestionJob", "bedrock:ListIngestionJobs", "bedrock:ApplyGuardrail", "bedrock:ListPrompts", "bedrock:GetPrompt", "bedrock:CreatePrompt", "bedrock:DeletePrompt", "bedrock:CreatePromptVersion", "bedrock:InvokeFlow", "bedrock:ListTagsForResource", "bedrock:TagResource", "bedrock:UntagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "RetrieveAndGenerate", "Effect": "Allow", "Action": "bedrock:RetrieveAndGenerate", "Resource": "*" }, { "Sid": "WriteLogs", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "InvokeLambdaFunctions", "Effect": "Allow", "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:*:*:function:br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "AccessSecretsManagerSecrets", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "UseKmsKeyWithBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "Null": { "kms:EncryptionContext:aws:bedrock:arn": "false" } } }, { "Sid": "UseKmsKeyWithAwsServices", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com", "secretsmanager.*.amazonaws.com" ] } } } ] }

Amazon Bedrock memperbarui ke AWS kebijakan terkelola

Lihat detail tentang pembaruan AWS kebijakan terkelola untuk Amazon Bedrock sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed di. Riwayat dokumen untuk Panduan Pengguna Amazon Bedrock

Perubahan Deskripsi Tanggal

AmazonBedrockReadOnly— Kebijakan yang diperbarui

Amazon Bedrock menambahkan izin read-only profil inferensi.

Agustus 27, 2024

AmazonBedrockReadOnly— Kebijakan yang diperbarui

Amazon Bedrock memperbarui AmazonBedrockReadOnly kebijakan untuk menyertakan izin hanya-baca untuk Amazon Bedrock Guardrails, evaluasi Amazon Bedrock Model, dan inferensi Batch Amazon Bedrock.

Agustus 21, 2024

AmazonBedrockReadOnly— Kebijakan yang diperbarui

Amazon Bedrock menambahkan izin hanya-baca inferensi batch (pekerjaan pemanggilan model).

Agustus 21, 2024

AmazonBedrockStudioPermissionsBoundary – Kebijakan baru

Amazon Bedrock menerbitkan versi pertama dari kebijakan ini.

Juli 31, 2024

AmazonBedrockFullAccess – Kebijakan baru

Amazon Bedrock menambahkan kebijakan baru untuk memberikan izin kepada pengguna untuk membuat, membaca, memperbarui, dan menghapus sumber daya.

Desember 12, 2023

AmazonBedrockReadOnly – Kebijakan baru

Amazon Bedrock menambahkan kebijakan baru untuk memberi pengguna izin hanya-baca untuk semua tindakan.

Desember 12, 2023

Amazon Bedrock mulai melacak perubahan

Amazon Bedrock mulai melacak perubahan AWS kebijakan terkelola.

Desember 12, 2023