授予 IAM 权限以请求访问带有产品编号的 Amazon Bedrock 基础模型

通过以下 IAM 操作控制使用产品 ID 访问 Amazon Bedrock 无服务器基础模型：

IAM 操作	描述	适用于哪些型号
AWS 市场：订阅	允许 IAM 实体订阅 AWS Marketplace 产品，包括 Amazon Bedrock 基础模型。	仅包含产品编号的 Amazon Bedrock 无服务器型号。 AWS Marketplace
AWS-Marketplace：取消订阅	允许 IAM 身份取消订阅 AWS Marketplace 产品，包括 Amazon Bedrock 基础模型。	仅包含产品编号的 Amazon Bedrock 无服务器型号。 AWS Marketplace
aws 市场：ViewSubscriptions	允许 IAM 身份返回 AWS Marketplace 产品列表，包括 Amazon Bedrock 基础模型。	仅包含产品编号的 Amazon Bedrock 无服务器型号。 AWS Marketplace

注意

仅对于 aws-marketplace:Subscribe 操作，您可以使用 aws-marketplace:ProductId 条件键来限制对特定模型的订阅。

让 IAM 身份请求使用产品 ID 访问模型

该身份必须附有允许的策略aws-marketplace:Subscribe。

注意

如果某个身份已经在一个 AWS 区域订阅了模型，则该模型可供该身份在所有可用该模型的 AWS 区域中请求访问权限，即使其他区域aws-marketplace:Subscribe被拒绝。

选择一个部分以查看特定用例的 IAM 策略示例：

防止身份请求访问带有产品 ID 的模特

要防止 IAM 实体请求访问具有产品 ID 的特定型号，请向用户附加拒绝该aws-marketplace:Subscribe操作的 IAM 策略，并将该Condition字段的范围限定为该模型的产品 ID。

例如，您可以将以下策略附加到身份以防止其订阅AnthropicClaude 3.5 Sonnet模型：

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        }
    ]
}

注意

使用此策略，默认情况下，IAM 实体将有权访问任何新添加的模型。

如果该身份已经在至少一个地区订阅了模型，则此政策不会阻止在其他区域进行访问。相反，您可以通过查看中的示例来阻止其使用禁止身份在已被授予访问权限后使用模型。

禁止身份在已被授予访问权限后使用模型

如果已授予 IAM 身份访问模型的权限，则可以通过拒绝所有 Amazon Bedrock 操作并将该Resource字段的范围限定为基础模型的 ARN 来阻止模型的使用。

例如，您可以将以下策略附加到某个身份，以防止其在所有 AWS 区域使用该AnthropicClaude 3.5 Sonnet模型：

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
            ]
        }
    ]
}