Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Azioni, risorse e chiavi di condizione per Amazon Bedrock Agentcore
Amazon Bedrock Agentcore (prefisso del servizio:bedrock-agentcore) fornisce le seguenti risorse, azioni e chiavi di contesto delle condizioni specifiche del servizio da utilizzare nelle politiche di autorizzazione IAM.
Riferimenti:
-
Scopri come configurare questo servizio.
-
Visualizza un elenco delle operazioni API disponibili per questo servizio.
-
Scopri come proteggere questo servizio e le sue risorse utilizzando le policy delle autorizzazioni di IAM.
Argomenti
Azioni definite da Amazon Bedrock Agentcore
Puoi specificare le seguenti operazioni nell'elemento Action di un'istruzione di policy IAM. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando utilizzi un'operazione in una policy, in genere consenti o rifiuti l'accesso all'operazione API o al comando CLI con lo stesso nome. Tuttavia, in alcuni casi, una singola operazione controlla l'accesso a più di una operazione. In alternativa, alcune operazioni richiedono operazioni differenti.
La colonna Livello di accesso della tabella Azioni descrive come viene classificata l'azione (elenco, lettura, gestione delle autorizzazioni o etichettatura). Questa classificazione può aiutare a comprendere il livello di accesso che un'operazione mette a disposizione quando viene utilizzata in una policy. Per ulteriori informazioni sui livelli di accesso, vedere Livelli di accesso nei riepiloghi delle politiche.
La colonna Tipi di risorsa della tabella Operazioni indica se ogni operazione supporta le autorizzazioni a livello di risorsa. Se non vi è nessun valore in corrispondenza di questa colonna, è necessario specificare tutte le risorse ("*") alle quali si applica la policy nell'elemento Resource dell'istruzione di policy. Se la colonna include un tipo di risorsa, puoi specificare un ARN di quel tipo in una istruzione con tale operazione. Se l'operazione ha una o più risorse richieste, il chiamante deve disporre dell'autorizzazione per utilizzare l'operazione con tali risorse. Le risorse richieste sono indicate nella tabella con un asterisco (*). Se si limita l'accesso alle risorse con l'elemento Resource in una policy IAM, è necessario includere un ARN o un modello per ogni tipo di risorsa richiesta. Alcune operazioni supportano più tipi di risorse. Se il tipo di risorsa è facoltativo (non indicato come obbligatorio), puoi scegliere di utilizzare uno tra i tipi di risorsa facoltativi.
La colonna Chiavi di condizione della tabella Operazioni contiene le chiavi che è possibile specificare nell'elemento Condition di un'istruzione di policy. Per ulteriori informazioni sulle chiavi di condizione associate alle risorse per il servizio guarda la colonna Chiavi di condizione della tabella Tipi di risorsa.
La colonna Azioni dipendenti della tabella Azioni mostra le autorizzazioni aggiuntive necessarie per eseguire correttamente un'azione. Queste autorizzazioni sono necessarie in aggiunta all'autorizzazione per l'azione stessa. Quando un'azione specifica azioni dipendenti, tali dipendenze possono applicarsi a risorse aggiuntive definite per quell'azione, non solo alla prima risorsa elencata nella tabella.
Nota
Le chiavi relative alle condizioni delle risorse sono elencate nella tabella Tipi di risorse. Nella colonna Tipi di risorse (*obbligatorio) della tabella Operazioni è presente un collegamento al tipo di risorsa che si applica a un'operazione. Il tipo di risorsa nella tabella Tipi di risorse include la colonna Chiavi di condizione, che contiene le chiavi delle condizioni delle risorse che si applicano a un'operazione nella tabella Operazioni.
Per dettagli sulle colonne nella tabella seguente, consultare Tabella delle operazioni.
| Azioni | Descrizione | Livello di accesso | Tipi di risorsa (*obbligatorio) | Chiavi di condizione | Operazioni dipendenti |
|---|---|---|---|---|---|
| AllowVendedLogDeliveryForResource [solo autorizzazione] | Concede l'autorizzazione a configurare la telemetria fornita per una risorsa | Gestione delle autorizzazioni | |||
| ConnectBrowserAutomationStream | Concede l'autorizzazione a connettersi a un flusso di automazione del browser | Lettura | |||
| ConnectBrowserLiveViewStream | Concede l'autorizzazione a connettersi a uno streaming di visualizzazione live del browser | Lettura | |||
| CreateAgentRuntime | Concede l'autorizzazione a creare un nuovo runtime dell'agente | Scrittura |
iam:PassRole |
||
| CreateAgentRuntimeEndpoint | Concede l'autorizzazione a creare un nuovo endpoint di runtime dell'agente | Scrittura | |||
| CreateApiKeyCredentialProvider | Concede l'autorizzazione a creare un nuovo API Key Credential Provider | Scrittura | |||
| CreateBrowser | Concede l'autorizzazione a creare un nuovo browser personalizzato | Scrittura | |||
| CreateCodeInterpreter | Concede l'autorizzazione a creare un nuovo interprete di codice personalizzato | Scrittura | |||
| CreateEvent | Concede il permesso di creare un evento | Scrittura | |||
| CreateGateway | Concede l'autorizzazione a creare un nuovo gateway | Scrittura |
iam:PassRole |
||
| CreateGatewayTarget | Concede l'autorizzazione a creare una nuova destinazione in un gateway esistente | Scrittura | |||
| CreateMemory | Concede l'autorizzazione a creare una risorsa di memoria | Scrittura |
iam:PassRole |
||
| CreateOauth2CredentialProvider | Concede l'autorizzazione a creare un nuovo Credential Provider per accedere a risorse esterne tramite protocollo OAuth2 | Scrittura | |||
| CreateWorkloadIdentity | Concede l'autorizzazione a creare una nuova identità del carico di lavoro | Scrittura | |||
| DeleteAgentRuntime | Concede l'autorizzazione a eliminare un runtime dell'agente | Scrittura | |||
| DeleteAgentRuntimeEndpoint | Concede l'autorizzazione a eliminare un endpoint di runtime dell'agente | Scrittura | |||
| DeleteApiKeyCredentialProvider | Concede l'autorizzazione a eliminare un provider di credenziali API Key registrato | Scrittura | |||
| DeleteBrowser | Concede l'autorizzazione a eliminare un browser personalizzato | Scrittura | |||
| DeleteCodeInterpreter | Concede l'autorizzazione a eliminare un interprete di codice personalizzato | Scrittura | |||
| DeleteEvent | Concede il permesso di eliminare un evento | Scrittura | |||
| DeleteGateway | Concede il permesso di eliminare un gateway esistente | Scrittura | |||
| DeleteGatewayTarget | Concede l'autorizzazione a eliminare una destinazione gateway esistente | Scrittura | |||
| DeleteMemory | Concede il permesso di eliminare una risorsa di memoria | Scrittura | |||
| DeleteMemoryRecord | Concede il permesso di eliminare un record di memoria | Scrittura | |||
| DeleteOauth2CredentialProvider | Concede l'autorizzazione a eliminare un fornitore di credenziali registrato OAuth2 | Scrittura | |||
| DeleteWorkloadIdentity | Concede l'autorizzazione a eliminare un'identità di carico di lavoro registrata | Scrittura | |||
| GetAgentRuntime | Concede l'autorizzazione a ottenere i dettagli del runtime di un agente | Lettura | |||
| GetAgentRuntimeEndpoint | Concede l'autorizzazione a ottenere i dettagli di un endpoint di runtime dell'agente | Lettura | |||
| GetApiKeyCredentialProvider | Concede l'autorizzazione a recuperare un provider di credenziali di chiavi API registrato in base al suo nome | Lettura | |||
| GetBrowser | Concede l'autorizzazione a ottenere i dettagli di un browser | Lettura | |||
| GetBrowserSession | Concede il permesso di ottenere i dettagli di una sessione del browser | Lettura | |||
| GetCodeInterpreter | Concede il permesso di ottenere i dettagli di un interprete di codice | Lettura | |||
| GetCodeInterpreterSession | Concede il permesso di ottenere i dettagli di una sessione di interprete di codice | Lettura | |||
| GetEvent | Concede il permesso di recuperare un evento | Lettura | |||
| GetGateway | Concede l'autorizzazione a recuperare un gateway esistente | Lettura | |||
| GetGatewayTarget | Concede l'autorizzazione a recuperare una destinazione del gateway esistente | Lettura | |||
| GetMemory | Concede l'autorizzazione a recuperare i dettagli di una risorsa di memoria | Lettura | |||
| GetMemoryRecord | Concede il permesso di recuperare un record di memoria | Lettura | |||
| GetOauth2CredentialProvider | Concede l'autorizzazione a recuperare un fornitore di OAuth2 credenziali registrato in base al suo nome | Lettura | |||
| GetResourceApiKey | Concede l'autorizzazione a recuperare una chiave API associata a un fornitore di credenziali di chiavi Api | Lettura | |||
| GetResourceOauth2Token | Concede l'autorizzazione a recuperare il token di accesso con il flusso OAuth2 2LO o 3LO per accedere a risorse esterne | Lettura | |||
| GetTokenVault | Concede l'autorizzazione a recuperare la configurazione corrente di, incluse le impostazioni di crittografia TokenVault | Lettura | |||
| GetWorkloadAccessToken | Concede l'autorizzazione a recuperare un token di accesso al carico di lavoro per carichi di lavoro agentici che non agiscono per conto di un utente | Scrittura | |||
| GetWorkloadAccessTokenForJWT | Concede l'autorizzazione a recuperare un token di accesso Workload per carichi di lavoro agentici che agiscono per conto di un utente con il token JWT | Scrittura | |||
| GetWorkloadAccessTokenForUserId | Concede l'autorizzazione a recuperare un token di accesso Workload per carichi di lavoro agentici che agiscono per conto di un utente con ID utente | Scrittura | |||
| GetWorkloadIdentity | Concede l'autorizzazione a recuperare i dettagli per un'identità di Workload specifica, inclusi il nome e la restituzione consentita OAuth2 URLs | Lettura | |||
| InvokeAgentRuntime | Concede l'autorizzazione a richiamare un endpoint di runtime dell'agente | Scrittura | |||
| InvokeCodeInterpreter | Concede l'autorizzazione a richiamare una sessione di interprete di codice | Scrittura | |||
| ListActors | Concede il permesso di elencare gli attori | Elenco | |||
| ListAgentRuntimeEndpoints | Concede l'autorizzazione a elencare gli endpoint di runtime dell'agente | Elenco | |||
| ListAgentRuntimeVersions | Concede l'autorizzazione a elencare le versioni di runtime dell'agente | Elenco | |||
| ListAgentRuntimes | Concede l'autorizzazione a elencare i runtime degli agenti | Elenco | |||
| ListApiKeyCredentialProviders | Concede l'autorizzazione a elencare tutti i provider di credenziali API Key nel Token Vault | Lettura | |||
| ListBrowserSessions | Concede l'autorizzazione a elencare le sessioni del browser | Elenco | |||
| ListBrowsers | Concede l'autorizzazione a elencare i browser | Elenco | |||
| ListCodeInterpreterSessions | Concede l'autorizzazione a elencare le sessioni dell'interprete di codice | Elenco | |||
| ListCodeInterpreters | Concede l'autorizzazione a elencare gli interpreti di codici | Elenco | |||
| ListEvents | Concede l'autorizzazione a elencare gli eventi | Elenco | |||
| ListGatewayTargets | Concede l'autorizzazione a elencare gli obiettivi del gateway esistenti | Elenco | |||
| ListGateways | Concede l'autorizzazione a elencare i gateway esistenti | Elenco | |||
| ListMemories | Concede l'autorizzazione a elencare le risorse di memoria | Elenco | |||
| ListMemoryRecords | Concede il permesso di elencare i record di memoria | Elenco | |||
| ListOauth2CredentialProviders | Concede l'autorizzazione a elencare tutti i fornitori di OAuth2 credenziali nel Token Vault | Lettura | |||
| ListSessions | Concede l'autorizzazione a elencare le sessioni | Elenco | |||
| ListWorkloadIdentities | Concede l'autorizzazione a elencare tutte le identità del carico di lavoro nella cartella del chiamante Account AWS | Lettura | |||
| RetrieveMemoryRecords | Concede l'autorizzazione a recuperare i record di memoria tramite interrogazione sematica | Elenco | |||
| SetTokenVaultCMK | Concede l'autorizzazione ad associare una chiave gestita dal cliente (CMK) o una chiave gestita dal servizio a una chiave specifica TokenVault | Lettura | |||
| StartBrowserSession | Concede l'autorizzazione per avviare una nuova sessione del browser | Scrittura | |||
| StartCodeInterpreterSession | Concede il permesso di avviare una nuova sessione di interprete di codice | Scrittura | |||
| StopBrowserSession | Concede il permesso di interrompere una sessione del browser | Scrittura | |||
| StopCodeInterpreterSession | Concede il permesso di interrompere una sessione di interprete di codice | Scrittura | |||
| SynchronizeGatewayTargets [solo autorizzazione] | Concede l'autorizzazione per abilitare la ricerca sui gateway | Gestione delle autorizzazioni | |||
| UpdateAgentRuntime | Concede l'autorizzazione ad aggiornare il runtime di un agente | Scrittura |
iam:PassRole |
||
| UpdateAgentRuntimeEndpoint | Concede l'autorizzazione ad aggiornare un endpoint di runtime dell'agente | Scrittura | |||
| UpdateApiKeyCredentialProvider | Concede l'autorizzazione ad aggiornare un provider di credenziali API Key esistente | Scrittura | |||
| UpdateBrowserStream | Concede l'autorizzazione ad aggiornare lo stato del flusso di sessione del browser | Scrittura | |||
| UpdateGateway | Concede l'autorizzazione ad aggiornare un gateway esistente | Scrittura |
iam:PassRole |
||
| UpdateGatewayTarget | Concede l'autorizzazione ad aggiornare una destinazione del gateway esistente | Scrittura | |||
| UpdateMemory | Concede l'autorizzazione ad aggiornare una risorsa di memoria | Scrittura |
iam:PassRole |
||
| UpdateOauth2CredentialProvider | Concede l'autorizzazione ad aggiornare un fornitore di credenziali esistente OAuth2 | Scrittura | |||
| UpdateWorkloadIdentity | Concede l'autorizzazione ad aggiornare i metadati di un'identità di carico di lavoro esistente | Scrittura | |||
Tipi di risorse definiti da Amazon Bedrock Agentcore
I seguenti tipi di risorse sono definiti da questo servizio e possono essere utilizzati nell'elemento Resource delle istruzioni di policy delle autorizzazioni IAM. Ogni operazione nella Tabella delle operazioni identifica i tipi di risorse che possono essere specificati con tale operazione. Un tipo di risorsa può anche definire quali chiavi di condizione puoi includere in una policy. Queste chiavi vengono visualizzate nell'ultima colonna della tabella Tipi di risorsa. Per dettagli sulle colonne nella tabella seguente, consulta Tabella dei tipi di risorsa.
| Tipi di risorsa | ARN | Chiavi di condizione |
|---|---|---|
| memory |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:memory/${MemoryId}
|
|
| gateway |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:gateway/${GatewayId}
|
|
| workload-identity |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}/workload-identity/${WorkloadIdentityName}
|
|
| oauth2credentialprovider |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/oauth2credentialprovider/${Name}
|
|
| apikeycredentialprovider |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/apikeycredentialprovider/${Name}
|
|
| runtime |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}
|
|
| runtime-endpoint |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}/runtime-endpoint/${Name}
|
|
| code-interpreter-custom |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:code-interpreter-custom/${CodeInterpreterId}
|
|
| code-interpreter |
arn:${Partition}:bedrock-agentcore:${Region}:aws:code-interpreter/${CodeInterpreterId}
|
|
| browser-custom |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:browser-custom/${BrowserId}
|
|
| browser |
arn:${Partition}:bedrock-agentcore:${Region}:aws:browser/${BrowserId}
|
|
| workload-identity-directory |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}
|
|
| token-vault |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}
|
Chiavi delle condizioni per Amazon Bedrock Agentcore
Amazon Bedrock Agentcore definisce le seguenti chiavi di condizione che possono essere utilizzate nell'Conditionelemento di una policy IAM. Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy. Per dettagli sulle colonne nella tabella seguente, consulta Tabella delle chiavi di condizione.
Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta le chiavi di AWS contesto delle condizioni globali.
| Chiavi di condizione | Descrizione | Tipo |
|---|---|---|
| bedrock-agentcore:actorId | Filtra l'accesso in base all'ID dell'attore | Stringa |
| bedrock-agentcore:namespace | Filtra l'accesso per namespace | Stringa |
| bedrock-agentcore:sessionId | Filtra l'accesso per ID di sessione | Stringa |
| bedrock-agentcore:strategyId | Filtra l'accesso in base all'ID della strategia di memoria | Stringa |
