授予 IAM 許可，以使用產品 ID 請求存取 Amazon Bedrock 基礎模型

使用產品 ID 存取 Amazon Bedrock 無伺服器基礎模型是由下列 IAM 動作控制：

IAM 動作	描述	適用於哪些模型
aws-marketplace：訂閱	允許 IAM 實體訂閱 AWS Marketplace 產品，包括 Amazon Bedrock 基礎模型。	只有具有產品 ID 的 Amazon Bedrock 無伺服器模型 AWS Marketplace。
aws-marketplace：取消訂閱	允許 IAM 身分取消訂閱 AWS Marketplace 產品，包括 Amazon Bedrock 基礎模型。	只有具有產品 ID 的 Amazon Bedrock 無伺服器模型 AWS Marketplace。
aws-marketplace：ViewSubscriptions	允許 IAM 身分傳回 AWS Marketplace 產品清單，包括 Amazon Bedrock 基礎模型。	只有具有產品 ID 的 Amazon Bedrock 無伺服器模型 AWS Marketplace。

注意

僅針對 aws-marketplace:Subscribe動作，您可以使用 aws-marketplace:ProductId條件索引鍵來限制特定模型的訂閱。

對於使用產品 ID 請求存取模型的 IAM 身分

身分必須連接允許 的政策aws-marketplace:Subscribe。

注意

如果身分已訂閱某個 AWS 區域中的模型，即使其他區域aws-marketplace:Subscribe遭到拒絕，該模型仍可供該身分在可使用模型的所有 AWS 區域中請求存取權。

選取區段以查看特定使用案例的 IAM 政策範例：

防止身分請求存取具有產品 ID 的模型

若要防止 IAM 實體請求存取具有產品 ID 的特定模型，請將 IAM 政策連接至拒絕aws-marketplace:Subscribe動作的使用者，並將 Condition 欄位範圍限定為模型的產品 ID。

例如，您可以將下列政策連接至身分，以防止其訂閱AnthropicClaude 3.5 Sonnet模型：

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        }
    ]
}

注意

使用此政策，根據預設，IAM 實體將可存取任何新新增的模型。

如果身分已在至少一個區域中訂閱模型，則此政策不會阻止在其他區域中存取 。反之，您可以查看 中的範例來防止其使用在授予存取權之後，防止身分使用模型。

在授予存取權之後，防止身分使用模型

如果 IAM 身分已授予模型的存取權，您可以透過拒絕所有 Amazon Bedrock 動作並將 Resource 欄位限定為基礎模型的 ARN，來防止使用模型。

例如，您可以將下列政策連接至身分，以防止其在所有 AWS 區域中使用該AnthropicClaude 3.5 Sonnet模型：

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
            ]
        }
    ]
}