Concedi le autorizzazioni IAM per richiedere l'accesso ai modelli Amazon Bedrock Foundation con un ID prodotto

L'accesso ai modelli di base serverless di Amazon Bedrock con un ID di prodotto è controllato dalle seguenti azioni IAM:

Operazione IAM	Descrizione	Si applica a quali modelli
AWS-Marketplace: iscriviti	Consente a un'entità IAM di abbonarsi a Marketplace AWS prodotti, inclusi i modelli Amazon Bedrock Foundation.	Solo i modelli serverless di Amazon Bedrock con un ID prodotto in. Marketplace AWS
AWS-Marketplace: annulla l'iscrizione	Consente a un'identità IAM di annullare l'iscrizione ai Marketplace AWS prodotti, inclusi i modelli Amazon Bedrock Foundation.	Solo i modelli serverless di Amazon Bedrock con un ID prodotto in. Marketplace AWS
aws-marketplace: ViewSubscriptions	Consente a un'identità IAM di restituire un elenco di Marketplace AWS prodotti, inclusi i modelli Amazon Bedrock Foundation.	Solo i modelli serverless di Amazon Bedrock con un ID prodotto in. Marketplace AWS

Nota

Solo per questa aws-marketplace:Subscribe azione, puoi utilizzare il tasto aws-marketplace:ProductId condition per limitare l'abbonamento a modelli specifici.

Affinché un'identità IAM richieda l'accesso ai modelli con un ID di prodotto

L'identità deve avere una policy allegata che lo consentaaws-marketplace:Subscribe.

Nota

Se un'identità ha già sottoscritto un modello in una AWS regione, il modello diventa disponibile per l'identità per richiedere l'accesso in tutte le AWS regioni in cui il modello è disponibile, anche se aws-marketplace:Subscribe viene negato in altre regioni.

Seleziona una sezione per visualizzare esempi di policy IAM per un caso d'uso specifico:

Impedisci a un'identità di richiedere l'accesso a un modello con un ID di prodotto

Per impedire a un'entità IAM di richiedere l'accesso a un modello specifico dotato di un ID di prodotto, allega all'utente una policy IAM che neghi l'aws-marketplace:Subscribeazione e associ il Condition campo all'ID prodotto del modello.

Ad esempio, puoi allegare la seguente policy a un'identità per impedirle di sottoscrivere il modello: Anthropic Claude 3.5 Sonnet

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        }
    ]
}

Nota

Con questa policy, l'entità IAM avrà accesso a tutti i nuovi modelli aggiunti per impostazione predefinita.

Se l'identità ha già sottoscritto il modello in almeno una regione, questa politica non impedisce l'accesso in altre regioni. Puoi invece impedirne l'utilizzo visualizzando l'esempio inImpedire a un'identità di utilizzare un modello dopo che l'accesso è già stato concesso.

Impedire a un'identità di utilizzare un modello dopo che l'accesso è già stato concesso

Se a un'identità IAM è già stato concesso l'accesso a un modello, puoi impedirne l'utilizzo negando tutte le azioni di Amazon Bedrock e limitando il Resource campo all'ARN del modello di base.

Ad esempio, puoi associare la seguente policy a un'identità per impedirle di utilizzare il Anthropic Claude 3.5 Sonnet modello in tutte le regioni: AWS

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
            ]
        }
    ]
}