Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Azioni, risorse e chiavi di condizione per Amazon Bedrock
Amazon Bedrock (prefisso del servizio: bedrock) fornisce le seguenti risorse, azioni e chiavi di contesto della condizione specifiche del servizio da utilizzare nelle policy delle autorizzazioni IAM.
Riferimenti:
-
Scopri come configurare questo servizio.
-
Visualizza un elenco delle operazioni API disponibili per questo servizio.
-
Scopri come proteggere questo servizio e le sue risorse utilizzando le policy delle autorizzazioni IAM.
Argomenti
Azioni definite da Amazon Bedrock
Puoi specificare le seguenti operazioni nell'elemento Action di un'istruzione di policy IAM. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando utilizzi un'operazione in una policy, in genere consenti o rifiuti l'accesso all'operazione API o al comando CLI con lo stesso nome. Tuttavia, in alcuni casi, una singola operazione controlla l'accesso a più di una operazione. In alternativa, alcune operazioni richiedono operazioni differenti.
La colonna Tipi di risorsa della tabella Operazioni indica se ogni operazione supporta le autorizzazioni a livello di risorsa. Se non vi è nessun valore in corrispondenza di questa colonna, è necessario specificare tutte le risorse ("*") alle quali si applica la policy nell'elemento Resource dell'istruzione di policy. Se la colonna include un tipo di risorsa, puoi specificare un ARN di quel tipo in una istruzione con tale operazione. Se l'operazione ha una o più risorse richieste, il chiamante deve disporre dell'autorizzazione per utilizzare l'operazione con tali risorse. Le risorse richieste sono indicate nella tabella con un asterisco (*). Se si limita l'accesso alle risorse con l'elemento Resource in una policy IAM, è necessario includere un ARN o un modello per ogni tipo di risorsa richiesta. Alcune operazioni supportano più tipi di risorse. Se il tipo di risorsa è facoltativo (non indicato come obbligatorio), puoi scegliere di utilizzare uno tra i tipi di risorsa facoltativi.
La colonna Chiavi di condizione della tabella Operazioni contiene le chiavi che è possibile specificare nell'elemento Condition di un'istruzione di policy. Per ulteriori informazioni sulle chiavi di condizione associate alle risorse per il servizio guarda la colonna Chiavi di condizione della tabella Tipi di risorsa.
Nota
Le chiavi relative alle condizioni delle risorse sono elencate nella tabella Tipi di risorse. Nella colonna Tipi di risorse (*obbligatorio) della tabella Operazioni è presente un collegamento al tipo di risorsa che si applica a un'operazione. Il tipo di risorsa nella tabella Tipi di risorse include la colonna Chiavi di condizione, che contiene le chiavi delle condizioni delle risorse che si applicano a un'operazione nella tabella Operazioni.
Per dettagli sulle colonne nella tabella seguente, consultare Tabella delle operazioni.
| Azioni | Descrizione | Livello di accesso | Tipi di risorsa (*obbligatorio) | Chiavi di condizione | Operazioni dipendenti |
|---|---|---|---|---|---|
| AllowVendedLogDeliveryForResource [solo autorizzazione] | Concede l'autorizzazione a configurare la consegna dei log forniti per una knowledge base | Gestione delle autorizzazioni | |||
| ApplyGuardrail | Concede il permesso di applicare un guardrail | Lettura | |||
| AssociateAgentKnowledgeBase | Concede l'autorizzazione per associare una knowledge base a un agente | Scrittura | |||
| AssociateThirdPartyKnowledgeBase [solo autorizzazione] | Concede l'autorizzazione per utilizzare una piattaforma di terze parti per archiviare i dati knowledge | Scrittura | |||
| CreateAgent | Concede l'autorizzazione per creare un nuovo agente e un alias dell'agente di prova che punta alla versione BOZZA dell'agente | Scrittura | |||
| CreateAgentActionGroup | Concede l'autorizzazione per creare un nuovo gruppo di operazioni in un agente esistente | Scrittura | |||
| CreateAgentAlias | Concede l'autorizzazione per creare un nuovo alias per un agente | Scrittura | |||
| CreateDataSource | Concede l'autorizzazione per creare un'origine dati | Scrittura | |||
| CreateEvaluationJob | Concede l'autorizzazione per creare un processo per la valutazione dei modelli di base o dei modelli personalizzati | Scrittura | |||
| CreateFoundationModelAgreement | Concede l'autorizzazione per creare un nuovo accordo del modello di base | Scrittura | |||
| CreateGuardrail | Concede l'autorizzazione per creare un nuovo guardrail | Scrittura | |||
| CreateGuardrailVersion | Concede l'autorizzazione per creare una nuova versione del guardrail | Scrittura | |||
| CreateKnowledgeBase | Concede l'autorizzazione per creare una knowledge base | Scrittura | |||
| CreateModelCustomizationJob | Concede l'autorizzazione a creare un processo per personalizzare il modello con i dati di addestramento personalizzati | Scrittura | |||
| CreateModelEvaluationJob | Concede l'autorizzazione per creare un processo per la valutazione dei modelli di base o dei modelli personalizzati | Scrittura | |||
| CreateModelInvocationJob | Concede l'autorizzazione per creare un nuovo processo di invocazione del modello | Scrittura | |||
| CreateProvisionedModelThroughput | Concede l'autorizzazione per creare una nuova velocità di trasmissione effettiva del modello con provisioning | Scrittura | |||
| DeleteAgent | Concede l'autorizzazione per eliminare un agente creato in precedenza | Scrittura | |||
| DeleteAgentActionGroup | Concede l'autorizzazione per eliminare un actionGroup creato in precedenza | Scrittura | |||
| DeleteAgentAlias | Concede il permesso di eliminare un file creato in AgentAlias precedenza | Scrittura | |||
| DeleteAgentVersion | Concede l'autorizzazione per eliminare una versione dell'agente creata in precedenza | Scrittura | |||
| DeleteCustomModel | Concede l'autorizzazione a eliminare un modello personalizzato creato in precedenza | Scrittura | |||
| DeleteDataSource | Concede l'autorizzazione per eliminare un'origine dati | Scrittura | |||
| DeleteFoundationModelAgreement | Concede l'autorizzazione per eliminare un accordo del modello di base creato in precedenza | Scrittura | |||
| DeleteGuardrail | Concede l'autorizzazione per eliminare un guardrail o la sua versione | Scrittura | |||
| DeleteKnowledgeBase | Concede l'autorizzazione per eliminare una knowledge base | Scrittura | |||
| DeleteModelInvocationLoggingConfiguration | Concede l'autorizzazione per eliminare una configurazione del logging di invocazione esistente | Scrittura | |||
| DeleteProvisionedModelThroughput | Concede l'autorizzazione per eliminare una velocità di trasmissione effettiva del modello con provisioning creato in precedenza | Scrittura | |||
| DetectGeneratedContent | Concede l'autorizzazione a rilevare se il contenuto fornito viene generato utilizzando Amazon Bedrock | Lettura | |||
| DisassociateAgentKnowledgeBase | Concede l'autorizzazione per annullare l'associazione di una knowledge base dall'agente | Scrittura | |||
| GetAgent | Concede l'autorizzazione per richiamare un agente esistente | Lettura | |||
| GetAgentActionGroup | Concede l'autorizzazione per richiamare un gruppo di operazioni esistente | Lettura | |||
| GetAgentAlias | Concede l'autorizzazione per richiamare un alias esistente | Lettura | |||
| GetAgentKnowledgeBase | Concede l'autorizzazione per descrivere una knowledge base associata a un agente | Lettura | |||
| GetAgentVersion | Concede l'autorizzazione per recuperare la versione esistente di un agente | Lettura | |||
| GetCustomModel | Concede l'autorizzazione a ottenere le proprietà associate a un modello Bedrock personalizzato che hai creato | Lettura | |||
| GetDataSource | Concede l'autorizzazione per recuperare un'origine dati esistente | Lettura | |||
| GetEvaluationJob | Concede l'autorizzazione a ottenere le proprietà associate a un lavoro di valutazione. Utilizzare questa operazione per ottenere lo stato di un lavoro di valutazione | Lettura | |||
| GetFoundationModel | Concede l'autorizzazione per ottenere le proprietà associate a un modello di base Bedrock | Lettura | |||
| GetFoundationModelAvailability | Concede l'autorizzazione per ottenere la disponibilità di un modello di base | Lettura | |||
| GetGuardrail | Concede l'autorizzazione per recuperare un guardrail o la sua versione | Lettura | |||
| GetIngestionJob | Concede l'autorizzazione per recuperare un processo di acquisizione dati esistente | Lettura | |||
| GetKnowledgeBase | Concede l'autorizzazione per recuperare una knowledge base esistente | Lettura | |||
| GetModelCustomizationJob | Concede l'autorizzazione a ottenere le proprietà associate a un processo di personalizzazione dei modelli. Utilizza questa azione per ottenere lo stato di un processo di personalizzazione del modello | Lettura | |||
| GetModelEvaluationJob | Concede l'autorizzazione per ottenere le proprietà associate a un processo di valutazione del modello. Utilizza questa azione per ottenere lo stato di un processo di valutazione del modello | Lettura | |||
| GetModelInvocationJob | Concede l'autorizzazione per recuperare un processo di invocazione del modello | Lettura | |||
| GetModelInvocationLoggingConfiguration | Concede l'autorizzazione per recuperare una configurazione del logging di invocazione esistente | Lettura | |||
| GetProvisionedModelThroughput | Concede l'autorizzazione per recuperare una velocità di trasmissione effettiva del modello con provisioning | Lettura | |||
| GetUseCaseForModelAccess | Concede l'autorizzazione per recuperare un caso d'uso per accedere al modello | Lettura | |||
| InvokeAgent | Concede l'autorizzazione per inviare input utente (solo testo) all'alias di un agente per Bedrock | Lettura | |||
| InvokeModel | Concede l'autorizzazione a richiamare il modello Bedrock specificato per eseguire l'inferenza utilizzando l'input fornito nel corpo della richiesta | Lettura | |||
| InvokeModelWithResponseStream | Concede l'autorizzazione a richiamare il modello Bedrock specificato per eseguire l'inferenza utilizzando l'input fornito nel corpo della richiesta con la risposta in streaming | Lettura | |||
| ListAgentActionGroups | Concede l'autorizzazione per elencare i gruppi di operazioni in un agente | Elenco | |||
| ListAgentAliases | Concede l'autorizzazione per elencare gli alias di un agente | Elenco | |||
| ListAgentKnowledgeBases | Concede l'autorizzazione per elencare le knowledge base associate a un agente | Elenco | |||
| ListAgentVersions | Concede l'autorizzazione per elencare le versioni di un agente | Elenco | |||
| ListAgents | Concede l'autorizzazione per elencare gli agenti esistenti | Elenco | |||
| ListCustomModels | Concede l'autorizzazione a ottenere un elenco dei modelli Bedrock personalizzati che hai creato | Elenco | |||
| ListDataSources | Concede l'autorizzazione per elencare le origini dati esistenti in una knowledge base | Elenco | |||
| ListEvaluationJobs | Concede l'autorizzazione a ottenere l'elenco dei lavori di valutazione inviati | Elenco | |||
| ListFoundationModelAgreementOffers | Concede l'autorizzazione per ottenere un elenco di offerte di accordo del modello di base | Elenco | |||
| ListFoundationModels | Concede l'autorizzazione a elencare i modelli base di Bedrock che puoi utilizzare | Elenco | |||
| ListGuardrails | Concede l'autorizzazione per elencare guardrail o le sue versioni | Elenco | |||
| ListIngestionJobs | Concede l'autorizzazione per elencare i processi di importazione in un'origine dati | Elenco | |||
| ListKnowledgeBases | Concede l'autorizzazione per elencare le knowledge base esistenti | Elenco | |||
| ListModelCustomizationJobs | Concede l'autorizzazione a ottenere un elenco di processi di personalizzazione dei modelli che hai inviato | Elenco | |||
| ListModelEvaluationJobs | Concede l'autorizzazione per ottenere l'elenco dei processi di valutazione dei modelli che hai inviato | Elenco | |||
| ListModelInvocationJobs | Concede l'autorizzazione per elencare i processi di invocazione dei modelli creati in precedenza | Elenco | |||
| ListProvisionedModelThroughputs | Concede l'autorizzazione per elencare le velocità di trasmissione effettiva del modello con provisioning create in precedenza | Elenco | |||
| ListTagsForResource | Concede l'autorizzazione a elencare i tag per una risorsa Bedrock | Lettura | |||
| PrepareAgent | Concede l'autorizzazione per preparare un agente esistente alla ricezione di richieste di runtime | Scrittura | |||
| PutFoundationModelEntitlement | Concede l'autorizzazione per concedere il diritto di accesso a un modello di base | Scrittura | |||
| PutModelInvocationLoggingConfiguration | Concede l'autorizzazione per creare una configurazione del logging di invocazione esistente | Scrittura | |||
| PutUseCaseForModelAccess | Concede l'autorizzazione per inserire un caso d'uso per l'accesso al modello | Scrittura | |||
| Retrieve | Concede l'autorizzazione per recuperare i dati importati da una knowledge base | Lettura | |||
| RetrieveAndGenerate | Concede l'autorizzazione per inviare input utente per eseguire il recupero e la generazione | Scrittura | |||
| StartIngestionJob | Concede l'autorizzazione per avviare un processo di importazione | Scrittura | |||
| StopEvaluationJob | Concede l'autorizzazione a interrompere un lavoro di valutazione mentre è in corso | Scrittura | |||
| StopModelCustomizationJob | Concede l'autorizzazione a interrompere un processo di personalizzazione dei modelli Bedrock mentre è in corso | Scrittura | |||
| StopModelInvocationJob | Concede l'autorizzazione per arrestare un processo di invocazione dei modelli avviato in precedenza | Scrittura | |||
| TagResource | Concede l'autorizzazione ad applicare un tag a una risorsa Bedrock | Assegnazione di tag | |||
| UntagResource | Concede l'autorizzazione a rimuovere un tag da una risorsa Bedrock | Assegnazione di tag | |||
| UpdateAgent | Concede l'autorizzazione per aggiornare un agente esistente | Scrittura | |||
| UpdateAgentActionGroup | Concede l'autorizzazione per aggiornare un gruppo di operazioni esistente | Scrittura | |||
| UpdateAgentAlias | Concede l'autorizzazione per aggiornare un alias esistente | Scrittura | |||
| UpdateAgentKnowledgeBase | Concede l'autorizzazione per aggiornare una knowledge base associata a un agente | Scrittura | |||
| UpdateDataSource | Concede l'autorizzazione per aggiornare un'origine dati | Scrittura | |||
| UpdateGuardrail | Concede l'autorizzazione per aggiornare un guardrail | Scrittura | |||
| UpdateKnowledgeBase | Concede l'autorizzazione per aggiornare una knowledge base | Scrittura | |||
| UpdateProvisionedModelThroughput | Concede l'autorizzazione per aggiornare una velocità di trasmissione effettiva di un modello con provisioning creata in precedenza | Scrittura | |||
Tipi di risorsa definiti da Amazon Bedrock
I seguenti tipi di risorse sono definiti da questo servizio e possono essere utilizzati nell'elemento Resource delle istruzioni di policy delle autorizzazioni IAM. Ogni operazione nella Tabella delle operazioni identifica i tipi di risorse che possono essere specificati con tale operazione. Un tipo di risorsa può anche definire quali chiavi di condizione puoi includere in una policy. Queste chiavi vengono visualizzate nell'ultima colonna della tabella Tipi di risorsa. Per dettagli sulle colonne nella tabella seguente, consulta Tabella dei tipi di risorsa.
| Tipi di risorsa | ARN | Chiavi di condizione |
|---|---|---|
| foundation-model |
arn:${Partition}:bedrock:${Region}::foundation-model/${ResourceId}
|
|
| custom-model |
arn:${Partition}:bedrock:${Region}:${Account}:custom-model/${ResourceId}
|
|
| provisioned-model |
arn:${Partition}:bedrock:${Region}:${Account}:provisioned-model/${ResourceId}
|
|
| model-customization-job |
arn:${Partition}:bedrock:${Region}:${Account}:model-customization-job/${ResourceId}
|
|
| agent |
arn:${Partition}:bedrock:${Region}:${Account}:agent/${AgentId}
|
|
| agent-alias |
arn:${Partition}:bedrock:${Region}:${Account}:agent-alias/${AgentId}/${AgentAliasId}
|
|
| knowledge-base |
arn:${Partition}:bedrock:${Region}:${Account}:knowledge-base/${KnowledgeBaseId}
|
|
| model-evaluation-job |
arn:${Partition}:bedrock:${Region}:${Account}:model-evaluation-job/${ResourceId}
|
|
| evaluation-job |
arn:${Partition}:bedrock:${Region}:${Account}:evaluation-job/${ResourceId}
|
|
| model-invocation-job |
arn:${Partition}:bedrock:${Region}:${Account}:model-invocation-job/${JobIdentifier}
|
|
| guardrail |
arn:${Partition}:bedrock:${Region}:${Account}:guardrail/${GuardrailId}
|
Chiavi di condizione per Amazon Bedrock
Amazon Bedrock definisce le seguenti chiavi di condizione che possono essere utilizzate nell'elemento Condition di una policy IAM. Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy. Per dettagli sulle colonne nella tabella seguente, consulta Tabella delle chiavi di condizione.
Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta Chiavi di condizione globali disponibili.
| Chiavi di condizione | Descrizione | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra l'accesso creando richieste in base al set di valori consentito per ciascuno dei tag obbligatori | Stringa |
| aws:ResourceTag/${TagKey} | Filtra l'accesso disponendo di azioni basate sul valore del tag associato alla risorsa | Stringa |
| aws:TagKeys | Filtra l'accesso creando richieste in base alla presenza di tag obbligatori nella richiesta | ArrayOfString |
| bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn | Filtra l'accesso in base al secretARN contenente le credenziali della piattaforma di terze parti | ARN |
