翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Amazon Bedrock の マネージドポリシー
ユーザー、グループ、ロールにアクセス許可を追加するには、 を使用する方が簡単です。 AWS 自分でポリシーを記述するよりも マネージドポリシー。必要なアクセス許可のみをチームに提供するIAMカスタマー管理ポリシーを作成するには、時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシー。これらのポリシーは一般的なユースケースを対象としており、 で利用できます。 AWS アカウント。 の詳細については、「」を参照してください。 AWS 管理ポリシー、「」を参照してください。 AWSIAM ユーザーガイドの マネージドポリシー。
AWS サービスによるメンテナンスと更新 AWS マネージドポリシー。のアクセス許可は変更できません AWS マネージドポリシー。サービスが にアクセス許可を追加することがある AWS 新機能をサポートする マネージドポリシー。この種の更新は、ポリシーがアタッチされているすべてのアイデンティティ (ユーザー、グループ、ロール) に影響を与えます。サービスは を更新する可能性が最も高い AWS 新しい機能が起動されたとき、または新しいオペレーションが利用可能になったときの マネージドポリシー。サービスは からアクセス許可を削除しません AWS ポリシーの更新によって既存のアクセス許可が損なわれないように、 管理ポリシー。
さらに、 AWS は、複数の サービスにまたがる職務機能の マネージドポリシーをサポートします。例えば、 ReadOnlyAccess AWS 管理ポリシーは、すべての への読み取り専用アクセスを提供します。 AWS サービスとリソース。サービスが新機能を起動すると、 AWS は、新しいオペレーションとリソースの読み取り専用アクセス許可を追加します。職務機能ポリシーのリストと説明については、「」を参照してください。 AWS ユーザーガイドの ジョブ機能の IAM マネージドポリシー。
トピック
AWS マネージドポリシー: AmazonBedrockFullAccess
IAM ID にAmazonBedrockFullAccessポリシーをアタッチできます。
このポリシーは、ユーザーアクセス許可に Amazon Bedrock リソースの作成、読み取り、更新、および削除を許可する管理者アクセス許可を付与します。
注記
ファインチューニングとモデルアクセスには追加のアクセス許可が必要です。詳細については、「サードパーティーモデルのサブスクリプションへのアクセスを許可する」と「トレーニングファイルや検証ファイルにアクセスし、S3 に出力ファイルを書き込む権限」を参照してください。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
ec2(Amazon Elastic Compute Cloud) — VPCs、サブネット、およびセキュリティグループを記述するアクセス許可を付与します。 -
iam(AWS Identity and Access Management) – プリンシパルがロールを渡すことを許可しますが、プリンシパルがロールに「Amazon Bedrock」が含まれるIAMロールのみを Amazon Bedrock サービスに渡すことができます。アクセス許可は Amazon Bedrock オペレーションのbedrock.amazonaws.comに限定されています。 -
kms(AWS Key Management Service) — プリンシパルが記述できるようにします AWS KMS キーとエイリアス。 -
bedrock(Amazon Bedrock) – Amazon Bedrock コントロールプレーンおよびランタイムサービスのすべてのアクションに対するプリンシパルの読み取りおよび書き込みアクセスを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BedrockAll", "Effect": "Allow", "Action": [ "bedrock:*" ], "Resource": "*" }, { "Sid": "DescribeKey", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:*:kms:*:::*" }, { "Sid": "APIsWithAllResourceAccess", "Effect": "Allow", "Action": [ "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "PassRoleToBedrock", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonBedrock*", "Condition": { "StringEquals": { "iam:PassedToService": [ "bedrock.amazonaws.com" ] } } } ] }
AWS マネージドポリシー: AmazonBedrockReadOnly
IAM ID にAmazonBedrockReadOnlyポリシーをアタッチできます。
このポリシーは、ユーザーが Amazon Bedrock ですべてのリソースを表示できるようにする読み取り専用のアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonBedrockReadOnly", "Effect": "Allow", "Action": [ "bedrock:GetFoundationModel", "bedrock:ListFoundationModels", "bedrock:ListTagsForResource", "bedrock:GetFoundationModelAvailability", "bedrock:GetModelInvocationLoggingConfiguration", "bedrock:GetProvisionedModelThroughput", "bedrock:ListProvisionedModelThroughputs", "bedrock:GetModelCustomizationJob", "bedrock:ListModelCustomizationJobs", "bedrock:ListCustomModels", "bedrock:GetCustomModel", "bedrock:GetModelInvocationJob", "bedrock:ListModelInvocationJobs", "bedrock:GetGuardrail", "bedrock:ListGuardrails", "bedrock:GetEvaluationJob", "bedrock:ListEvaluationJobs", "bedrock:GetInferenceProfile", "bedrock:ListInferenceProfiles" ], "Resource": "*" } ] }
AWS マネージドポリシー: AmazonBedrockStudioPermissionsBoundary
注記
このポリシーはアクセス許可の境界です。アクセス許可の境界は、アイデンティティベースのポリシーがIAMプリンシパルに付与できるアクセス許可の上限を設定します。Amazon Bedrock Studio のアクセス許可の境界ポリシーを自分で使用してアタッチしないでください。Amazon Bedrock Studio のアクセス許可の境界ポリシーは、Amazon Bedrock Studio マネージドロールにのみアタッチする必要があります。アクセス許可の境界の詳細については、「 IAMユーザーガイド」のIAM「エンティティのアクセス許可の境界」を参照してください。
-
Amazon Bedrock Studio の最新バージョンでは、 という名前の同様のポリシーが に存在する
AmazonDataZoneBedrockPermissionsBoundaryことが引き続き予想されます。 AWS アカウント。詳細については、「ステップ 2: アクセス許可の境界、サービスロール、プロビジョニングロールを作成する」を参照してください。
Amazon Bedrock Studio プロジェクト、アプリケーション、コンポーネントを作成すると、Amazon Bedrock Studio はこのアクセス許可の境界を、それらのリソースの作成時に生成されるIAMロールに適用します。
Amazon Bedrock Studio は、 AmazonBedrockStudioPermissionsBoundary管理ポリシーを使用して、アタッチされているプロビジョニングされたIAMプリンシパルのアクセス許可を制限します。プリンシパルは、Amazon Bedrock Studio ユーザーに代わって Amazon が引き受け DataZone ることができるユーザーロールの形式をとり、Amazon S3 オブジェクトの読み取りと書き込み、Amazon Bedrock エージェントの呼び出しなどのアクションを実行できます。
このAmazonBedrockStudioPermissionsBoundaryポリシーは、Amazon S3、Amazon Bedrock、Amazon Serverless、および などのサービスへの Amazon Bedrock Studio の読み取りおよび書き込みアクセスを許可します。 OpenSearch AWS Lambda。 このポリシーは、AWSSecrets Manager シークレット、Amazon CloudWatch ロググループ、 などのサービスを使用するために必要な一部のインフラストラクチャリソースに対する読み取りおよび書き込みアクセス許可も付与します。 AWS KMS キー。
このポリシーは、以下のアクセス許可のセットで構成されます。
s3— Amazon Bedrock Studio によって管理される Amazon S3 バケット内のオブジェクトへの読み取りおよび書き込みアクセスを許可します。bedrock– Amazon Bedrock Studio によって管理される Amazon Bedrock エージェント、ナレッジベース、ガードレールを使用する機能を付与します。aoss— Amazon Bedrock Studio によって管理される Amazon OpenSearch Serverless コレクションAPIへのアクセスを許可します。lambda– を呼び出す機能を付与します AWS Lambda Amazon Bedrock Studio によって管理される 関数。secretsmanager— Amazon Bedrock Studio によって管理される AWS Secrets Manager シークレットへの読み取りおよび書き込みアクセスを許可します。logs– Amazon Bedrock Studio によって管理される Amazon CloudWatch Logs への書き込みアクセスを提供します。kms– を使用するためのアクセス許可を付与します AWS Amazon Bedrock Studio データを暗号化するための キー。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessS3Buckets", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListBucketVersions", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:DeleteObjectVersion" ], "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AccessOpenSearchCollections", "Effect": "Allow", "Action": "aoss:APIAccessAll", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "InvokeBedrockModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "arn:aws:bedrock:*::foundation-model/*" }, { "Sid": "AccessBedrockResources", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent", "bedrock:Retrieve", "bedrock:StartIngestionJob", "bedrock:GetIngestionJob", "bedrock:ListIngestionJobs", "bedrock:ApplyGuardrail", "bedrock:ListPrompts", "bedrock:GetPrompt", "bedrock:CreatePrompt", "bedrock:DeletePrompt", "bedrock:CreatePromptVersion", "bedrock:InvokeFlow", "bedrock:ListTagsForResource", "bedrock:TagResource", "bedrock:UntagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "RetrieveAndGenerate", "Effect": "Allow", "Action": "bedrock:RetrieveAndGenerate", "Resource": "*" }, { "Sid": "WriteLogs", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "InvokeLambdaFunctions", "Effect": "Allow", "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:*:*:function:br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "AccessSecretsManagerSecrets", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "UseKmsKeyWithBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "Null": { "kms:EncryptionContext:aws:bedrock:arn": "false" } } }, { "Sid": "UseKmsKeyWithAwsServices", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com", "secretsmanager.*.amazonaws.com" ] } } } ] }
Amazon Bedrock の への更新 AWS 管理ポリシー
の更新に関する詳細を表示する AWS Amazon Bedrock の マネージドポリシーは、このサービスがこれらの変更の追跡を開始した以降のものです。このページの変更に関する自動アラートを受け取るには、 のRSSフィードをサブスクライブしますAmazon Bedrock ユーザーガイドのドキュメント履歴。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AmazonBedrockReadOnly – 更新されたポリシー |
Amazon Bedrock に推論プロファイルの読み取り専用アクセス許可が追加されました。 |
2024 年 8 月 27 日 |
|
AmazonBedrockReadOnly – 更新されたポリシー |
Amazon Bedrock は、Amazon Bedrock ガードレール、Amazon Bedrock モデル評価、Amazon Bedrock Batch 推論の読み取り専用アクセス許可を含めるように AmazonBedrockReadOnly ポリシーを更新しました。 |
2024 年 8 月 21 日 |
|
AmazonBedrockReadOnly – 更新されたポリシー |
Amazon Bedrock にバッチ推論 (モデル呼び出しジョブ) の読み取り専用アクセス許可が追加されました。 |
2024 年 8 月 21 日 |
|
AmazonBedrockStudioPermissionsBoundary – 新しいポリシー |
Amazon Bedrock は、このポリシーの最初のバージョンを公開しました。 |
2024 年 7 月 31 日 |
|
AmazonBedrockFullAccess – 新しいポリシー |
Amazon Bedrock は、リソースの作成、読み取り、更新、および削除に対するアクセス許可をユーザーに付与する新しいポリシーを追加しました。 |
2023 年 12 月 12 日 |
|
AmazonBedrockReadOnly – 新しいポリシー |
Amazon Bedrock は、すべてのアクションに対する読み取り専用アクセス許可をユーザーに付与する新しいポリシーを追加しました。 |
2023 年 12 月 12 日 |
|
Amazon Bedrock が変更の追跡を開始 |
Amazon Bedrock が の変更の追跡を開始しました AWS マネージドポリシー。 |
2023 年 12 月 12 日 |
