Controle do acesso aos modelos do Amazon Bedrock Marketplace - Amazon Bedrock

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle do acesso aos modelos do Amazon Bedrock Marketplace

Você pode usar a política de acesso total do Amazon Bedrock para fornecer permissões à SageMaker IA. Para evitar que os usuários acessem modelos específicos do Bedrock Marketplace e, ao mesmo tempo, mantenham o acesso a todos os outros modelos, use uma política de negação. A política a seguir demonstra como negar acesso a um modelo específico.

Negando acesso a modelos específicos:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "MarketplaceModelDeny",
            "Effect": "Deny",
            "Action": [
                "sagemaker:*",
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:sagemaker:*:*:endpoint/*",
                "arn:aws:sagemaker:*:*:endpoint-config/*",
                "arn:aws:sagemaker:*:*:model/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/<model-id-to-deny>/*"
                }
            }
        }
    ]
}
Importante

Essa política nega explicitamente o acesso ao modelo especificado, ao mesmo tempo que permite o acesso a todos os outros modelos do Bedrock Marketplace (supondo que outras permissões necessárias estejam em vigor).

Permitindo acesso somente a modelos específicos

Para restringir os usuários a acessar somente modelos específicos do Bedrock Marketplace, use uma política de permissão com especificações de modelo explícitas. A política a seguir demonstra como permitir o acesso somente a modelos específicos:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "MarketplaceModelAllow",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateEndpoint",
                "sagemaker:CreateEndpointConfig",
                "sagemaker:CreateModel",
                "sagemaker:DeleteEndpoint",
                "sagemaker:UpdateEndpoint"
            ],
            "Resource": [
                "arn:aws:sagemaker:*:*:endpoint/*",
                "arn:aws:sagemaker:*:*:endpoint-config/*",
                "arn:aws:sagemaker:*:*:model/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "bedrock.amazonaws.com",
                    "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
                },
                "StringLike": {
                    "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/<model-id-to-allow>/*"
                }
            }
        },
        {
            "Sid": "BedrockEndpointTaggingOperations",
            "Effect": "Allow",
            "Action": [
                "sagemaker:AddTags",
                "sagemaker:DeleteTags"
            ],
            "Resource": [
                "arn:aws:sagemaker:*:*:endpoint/*",
                "arn:aws:sagemaker:*:*:endpoint-config/*",
                "arn:aws:sagemaker:*:*:model/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/<model-id-to-allow>/*"
                }
            }
        }
    ]
}

Essa política só permite acesso ao modelo especificado e nega acesso a todos os outros modelos. Se basear sua política emAmazonBedrockFullAccess, isso deve substituir as BedrockEndpointTaggingOperations declarações MarketplaceModelEndpointMutatingAPIs e.