Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS kebijakan terkelola untuk Amazon Bedrock
Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Butuh waktu dan keahlian untuk to membuat kebijakan yang dikelola pelanggan IAM yang hanya memberi tim Anda izin yang mereka perlukan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di Akun AWS Anda. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan IAM Pengguna.
AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat ada fitur baru yang diluncurkan atau saat ada operasi baru yang tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk daftar dan deskripsi kebijakan fungsi pekerjaan, lihat kebijakan AWS terkelola untuk fungsi pekerjaan di Panduan IAM Pengguna.
Topik
AWS kebijakan terkelola: AmazonBedrockFullAccess
Anda dapat melampirkan kebijakan AmazonBedrockFullAccess ke identitas IAM Anda.
Kebijakan ini memberikan izin administratif yang memungkinkan izin pengguna untuk membuat, membaca, memperbarui, dan menghapus sumber daya Amazon Bedrock.
catatan
Penyetelan halus dan akses model memerlukan izin tambahan. Lihat Izinkan akses ke langganan model pihak ketiga dan Izin untuk mengakses file pelatihan dan validasi dan untuk menulis file output di S3 untuk informasi lebih lanjut.
Detail izin
Kebijakan ini mencakup izin berikut:
-
ec2(Amazon Elastic Compute Cloud) — Memungkinkan izin untuk mendeskripsikanVPCs, subnet, dan grup keamanan. -
iam(AWS Identity and Access Management) - Memungkinkan prinsipal untuk lulus peran, tetapi hanya mengizinkan IAM peran dengan “Amazon Bedrock” di dalamnya untuk diteruskan ke layanan Amazon Bedrock. Izin dibatasibedrock.amazonaws.comuntuk operasi Amazon Bedrock. -
kms(Layanan Manajemen AWS Kunci) - Memungkinkan kepala sekolah untuk mendeskripsikan AWS KMS kunci dan alias. -
bedrock(Amazon Bedrock) - Memungkinkan kepala sekolah membaca dan menulis akses ke semua tindakan di bidang kontrol Amazon Bedrock dan layanan runtime. -
sagemaker(Amazon SageMaker AI) - Memungkinkan prinsipal untuk mengakses sumber daya SageMaker AI Amazon di akun pelanggan, yang berfungsi sebagai dasar untuk fitur Amazon Bedrock Marketplace.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BedrockAll", "Effect": "Allow", "Action": [ "bedrock:*" ], "Resource": "*" }, { "Sid": "DescribeKey", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:*:kms:*:::*" }, { "Sid": "APIsWithAllResourceAccess", "Effect": "Allow", "Action": [ "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "MarketplaceModelEndpointMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:DeleteEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com", "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible" } } }, { "Sid": "MarketplaceModelEndpointAddTagsOperations", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "sagemaker-sdk:bedrock", "bedrock:marketplace-registration-status", "sagemaker-studio:hub-content-arn" ] }, "StringLike": { "aws:RequestTag/sagemaker-sdk:bedrock": "compatible", "aws:RequestTag/bedrock:marketplace-registration-status": "registered", "aws:RequestTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*" } } }, { "Sid": "MarketplaceModelEndpointDeleteTagsOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "sagemaker-sdk:bedrock", "bedrock:marketplace-registration-status", "sagemaker-studio:hub-content-arn" ] }, "StringLike": { "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible", "aws:ResourceTag/bedrock:marketplace-registration-status": "registered", "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*" } } }, { "Sid": "MarketplaceModelEndpointNonMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "MarketplaceModelEndpointInvokingOperations", "Effect": "Allow", "Action": [ "sagemaker:InvokeEndpoint", "sagemaker:InvokeEndpointWithResponseStream" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com", "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible" } } }, { "Sid": "DiscoveringMarketplaceModel", "Effect": "Allow", "Action": [ "sagemaker:DescribeHubContent" ], "Resource": [ "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*", "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" ] }, { "Sid": "AllowMarketplaceModelsListing", "Effect": "Allow", "Action": [ "sagemaker:ListHubContents" ], "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" }, { "Sid": "PassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*SageMaker*ForBedrock*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "bedrock.amazonaws.com" ] } } }, { "Sid": "PassRoleToBedrock", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonBedrock*", "Condition": { "StringEquals": { "iam:PassedToService": [ "bedrock.amazonaws.com" ] } } } ] }
AWS kebijakan terkelola: AmazonBedrockReadOnly
Anda dapat melampirkan kebijakan AmazonBedrockReadOnly ke identitas IAM Anda.
Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna melihat semua sumber daya di Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonBedrockReadOnly", "Effect": "Allow", "Action": [ "bedrock:Get*", "bedrock:List*" ], "Resource": "*" }, { "Sid": "MarketplaceModelEndpointNonMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeInferenceComponent", "sagemaker:ListEndpoints", "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "DiscoveringMarketplaceModel", "Effect": "Allow", "Action": [ "sagemaker:DescribeHubContent" ], "Resource": [ "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*", "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" ] }, { "Sid": "AllowMarketplaceModelsListing", "Effect": "Allow", "Action": [ "sagemaker:ListHubContents" ], "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" } ] }
AWS kebijakan terkelola: AmazonBedrockStudioPermissionsBoundary
catatan
Kebijakan ini adalah batas izin. Batas izin menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada prinsipal. IAM Anda tidak boleh menggunakan dan melampirkan kebijakan batas izin Amazon Bedrock Studio sendiri. Kebijakan batas izin Amazon Bedrock Studio hanya boleh dilampirkan ke peran terkelola Amazon Bedrock Studio. Untuk informasi selengkapnya tentang batas izin, lihat Batas izin untuk IAM entitas di IAM Panduan Pengguna.
-
Versi Amazon Bedrock Studio saat ini terus mengharapkan kebijakan serupa yang disebutkan
AmazonDataZoneBedrockPermissionsBoundaryada di AWS akun Anda. Untuk informasi selengkapnya, lihat Langkah 2: Buat batas izin, peran layanan, dan peran penyediaan.
Saat Anda membuat proyek, aplikasi, dan komponen Amazon Bedrock Studio, Amazon Bedrock Studio menerapkan batas izin ini ke IAM peran yang dihasilkan saat membuat sumber daya tersebut.
Amazon Bedrock Studio menggunakan kebijakan AmazonBedrockStudioPermissionsBoundary terkelola untuk membatasi izin dari IAM prinsipal yang disediakan yang dilampirkan. Prinsipal mungkin mengambil bentuk peran pengguna yang DataZone dapat diasumsikan Amazon atas nama pengguna Amazon Bedrock Studio, dan kemudian melakukan tindakan seperti membaca dan menulis objek Amazon S3 atau memanggil agen Amazon Bedrock.
AmazonBedrockStudioPermissionsBoundaryKebijakan ini memberikan akses baca dan tulis untuk Amazon Bedrock Studio ke layanan seperti Amazon S3, Amazon Bedrock, Amazon Tanpa Server, OpenSearch dan. AWS Lambda Kebijakan ini juga memberikan izin baca dan tulis ke beberapa sumber daya infrastruktur yang diperlukan untuk menggunakan layanan ini seperti AWS rahasia Secrets Manager, grup CloudWatch log Amazon, dan AWS KMS kunci.
Kebijakan ini terdiri dari kumpulan izin berikut.
s3— Memungkinkan akses baca dan tulis ke objek di bucket Amazon S3 yang dikelola oleh Amazon Bedrock Studio.bedrock— Memberikan kemampuan untuk menggunakan agen Amazon Bedrock, basis pengetahuan, dan pagar pembatas yang dikelola oleh Amazon Bedrock Studio.aoss— Memungkinkan API akses ke koleksi Amazon OpenSearch Tanpa Server yang dikelola oleh Amazon Bedrock Studio.lambda— Memberikan kemampuan untuk menjalankan AWS Lambda fungsi yang dikelola oleh Amazon Bedrock Studio.secretsmanager— Memungkinkan akses baca dan tulis ke AWS rahasia Secrets Manager yang dikelola oleh Amazon Bedrock Studio.logs— Menyediakan akses tulis ke Amazon CloudWatch Log yang dikelola oleh Amazon Bedrock Studio.kms— Memberikan akses untuk menggunakan AWS kunci untuk mengenkripsi data Amazon Bedrock Studio.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessS3Buckets", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListBucketVersions", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:DeleteObjectVersion" ], "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AccessOpenSearchCollections", "Effect": "Allow", "Action": "aoss:APIAccessAll", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "InvokeBedrockModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "arn:aws:bedrock:*::foundation-model/*" }, { "Sid": "AccessBedrockResources", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent", "bedrock:Retrieve", "bedrock:StartIngestionJob", "bedrock:GetIngestionJob", "bedrock:ListIngestionJobs", "bedrock:ApplyGuardrail", "bedrock:ListPrompts", "bedrock:GetPrompt", "bedrock:CreatePrompt", "bedrock:DeletePrompt", "bedrock:CreatePromptVersion", "bedrock:InvokeFlow", "bedrock:ListTagsForResource", "bedrock:TagResource", "bedrock:UntagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "RetrieveAndGenerate", "Effect": "Allow", "Action": "bedrock:RetrieveAndGenerate", "Resource": "*" }, { "Sid": "WriteLogs", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "InvokeLambdaFunctions", "Effect": "Allow", "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:*:*:function:br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "AccessSecretsManagerSecrets", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "UseKmsKeyWithBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "Null": { "kms:EncryptionContext:aws:bedrock:arn": "false" } } }, { "Sid": "UseKmsKeyWithAwsServices", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com", "secretsmanager.*.amazonaws.com" ] } } } ] }
Amazon Bedrock memperbarui kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon Bedrock sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed di. Riwayat dokumen untuk Panduan Pengguna Amazon Bedrock
| Perubahan | Deskripsi | Tanggal |
|---|---|---|
|
AmazonBedrockFullAccess— Kebijakan yang diperbarui |
Amazon Bedrock memperbarui kebijakan AmazonBedrockFullAccess terkelola untuk memberi pelanggan izin yang diperlukan untuk membuat, membaca, memperbarui, dan menghapus sumber daya Amazon Bedrock Marketplace. Ini termasuk izin untuk mengelola sumber daya Amazon SageMaker AI yang mendasarinya, karena berfungsi sebagai dasar untuk fungsionalitas Amazon Bedrock Marketplace. |
4 Desember 2024 |
|
AmazonBedrockReadOnly— Kebijakan yang diperbarui |
Amazon Bedrock memperbarui kebijakan AmazonBedrockReadOnly terkelola untuk memberikan pelanggan izin yang diperlukan untuk membaca sumber daya Amazon Bedrock Marketplace. Ini termasuk izin untuk mengelola sumber daya Amazon SageMaker AI yang mendasarinya, karena berfungsi sebagai dasar untuk fungsionalitas Amazon Bedrock Marketplace. |
Dember 4, 2024 |
|
AmazonBedrockReadOnly— Kebijakan yang diperbarui |
Amazon Bedrock memperbarui AmazonBedrockReadOnly kebijakan untuk menyertakan izin hanya-baca untuk impor model kustom. |
Oktober 18, 2024 |
|
AmazonBedrockReadOnly— Kebijakan yang diperbarui |
Amazon Bedrock menambahkan izin read-only profil inferensi. |
Agustus 27, 2024 |
|
AmazonBedrockReadOnly— Kebijakan yang diperbarui |
Amazon Bedrock memperbarui AmazonBedrockReadOnly kebijakan untuk menyertakan izin hanya-baca untuk Amazon Bedrock Guardrails, evaluasi Amazon Bedrock Model, dan inferensi Batch Amazon Bedrock. |
Agustus 21, 2024 |
|
AmazonBedrockReadOnly— Kebijakan yang diperbarui |
Amazon Bedrock menambahkan izin hanya-baca inferensi batch (pekerjaan pemanggilan model). |
Agustus 21, 2024 |
|
AmazonBedrockStudioPermissionsBoundary – Kebijakan baru |
Amazon Bedrock menerbitkan versi pertama dari kebijakan ini. |
Juli 31, 2024 |
|
AmazonBedrockReadOnly— Kebijakan yang diperbarui |
Amazon Bedrock memperbarui AmazonBedrockReadOnly kebijakan untuk menyertakan izin hanya-baca untuk Impor Model Kustom Amazon Bedrock. |
September 3, 2024 |
|
AmazonBedrockFullAccess – Kebijakan baru |
Amazon Bedrock menambahkan kebijakan baru untuk memberikan izin kepada pengguna untuk membuat, membaca, memperbarui, dan menghapus sumber daya. |
Desember 12, 2023 |
|
AmazonBedrockReadOnly – Kebijakan baru |
Amazon Bedrock menambahkan kebijakan baru untuk memberi pengguna izin hanya-baca untuk semua tindakan. |
Desember 12, 2023 |
|
Amazon Bedrock mulai melacak perubahan |
Amazon Bedrock mulai melacak perubahan untuk kebijakan AWS terkelolanya. |
Desember 12, 2023 |
