AWS Amazon 基岩的受管政策 - Amazon Bedrock

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Amazon 基岩的受管政策

要向用戶,組和角色添加權限,使用起來更容易 AWS 管理策略而不是自己編寫策略。建立IAM客戶管理的政策需要時間和專業知識,以便為您的團隊提供他們所需的權限。要快速開始使用,您可以使用我們的 AWS 受管理的策略。這些政策涵蓋常見使用案例,並且可在您的 AWS 帳戶。 有關更多信息 AWS 受管政策,請參閱 AWS《IAM使用者指南》中的受管理策略。

AWS 服務維護和更新 AWS 受管理的策略。您無法更改權限 AWS 受管理的策略。服務偶爾會將其他權限新增至 AWS 管理策略以支持新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。服務最有可能更新 AWS 啟動新功能或新作業可用時的受管理策略。服務不會移除權限 AWS 受管理的原則,因此政策更新不會破壞您現有的權限。

此外, AWS 支援跨越多個服務之工作職能的受管理原則。例如,ReadOnlyAccess AWS 受管理策略提供所有人的唯讀存取 AWS 服務和資源。當服務啟動新功能時, AWS 新增作業和資源的唯讀權限。如需工作職能原則的清單與說明,請參閱 AWS 《使用者指南》中針對工作職能的IAM管理策略

AWS 受管理的策略: AmazonBedrockFullAccess

您可以將AmazonBedrockFullAccess原則附加至您的IAM身分識別。

此政策授予管理權限,允許使用者建立、讀取、更新和刪除 Amazon Bedrock 資源。

注意

微調和模型存取需要額外的許可權。如需詳細資訊,請參閱 允許存取第三方模型訂閱存取訓練和驗證檔案,以及在 S3 中寫入輸出檔案的權限

許可詳細資訊

此政策包含以下許可:

  • ec2(Amazon 彈性運算雲端) — 允許權限描述VPCs、子網路和安全群組。

  • iam (AWS Identity and Access Management) — 允許主體傳遞角色,但只允許其中包含「Amazon 基岩」的IAM角色傳遞至 Amazon 基岩服務。許可權僅限用於 Amazon Bedrock 操作的 bedrock.amazonaws.com

  • kms (AWS 金鑰管理服務) — 允許主體描述 AWS KMS 金鑰和別名。

  • bedrock(Amazon Bedrock) — 允許主體讀取和寫入存取 Amazon Bedrock控制平面和執行期服務中的所有動作。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "BedrockAll", "Effect": "Allow", "Action": [ "bedrock:*" ], "Resource": "*" }, { "Sid": "DescribeKey", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:*:kms:*:::*" }, { "Sid": "APIsWithAllResourceAccess", "Effect": "Allow", "Action": [ "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "PassRoleToBedrock", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonBedrock*", "Condition": { "StringEquals": { "iam:PassedToService": [ "bedrock.amazonaws.com" ] } } } ] }

AWS 受管理的策略: AmazonBedrockReadOnly

您可以將AmazonBedrockReadOnly原則附加至您的IAM身分識別。

此政策授予唯讀許可,允許使用者檢視 Amazon Bedrock 中所有的資源。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonBedrockReadOnly", "Effect": "Allow", "Action": [ "bedrock:GetFoundationModel", "bedrock:ListFoundationModels", "bedrock:ListTagsForResource", "bedrock:GetFoundationModelAvailability", "bedrock:GetModelInvocationLoggingConfiguration", "bedrock:GetProvisionedModelThroughput", "bedrock:ListProvisionedModelThroughputs", "bedrock:GetModelCustomizationJob", "bedrock:ListModelCustomizationJobs", "bedrock:ListCustomModels", "bedrock:GetCustomModel", "bedrock:GetModelInvocationJob", "bedrock:ListModelInvocationJobs", "bedrock:GetGuardrail", "bedrock:ListGuardrails", "bedrock:GetEvaluationJob", "bedrock:ListEvaluationJobs", "bedrock:GetInferenceProfile", "bedrock:ListInferenceProfiles" ], "Resource": "*" } ] }

AWS 受管理的策略: AmazonBedrockStudioPermissionsBoundary

注意
  • 此原則是權限界限。權限界限會設定以身分識別為基礎的原則可授與主參與者的最大權限。IAM您不應該自行使用和附加 Amazon 基岩工作室許可邊界政策。Amazon 基岩工作室許可邊界政策只應附加至 Amazon 基岩工作室受管角色。如需有關權限界限的詳細資訊,請參閱《IAM使用指南》中的IAM實體權限界限

  • Amazon 基岩工作室的當前版本繼續期望類似的政策名AmazonDataZoneBedrockPermissionsBoundary為存在於 AWS 帳戶。如需詳細資訊,請參閱步驟 2:建立權限界限、服務角色和佈建角色

當您建立 Amazon 基岩工作室專案、應用程式和元件時,Amazon 基岩工作室會將此許可界限套用到建立這些資源時產生的IAM角色。

Amazon 基岩工作室使用AmazonBedrockStudioPermissionsBoundary受管政策來限制其所附加之已佈建IAM主體的許可。主體可能會採用 Amazon DataZone 可代表 Amazon 基岩工作室使用者承擔的使用者角色形式,然後執行讀取和寫入 Amazon S3 物件或叫用 Amazon 基岩代理程式等動作。

AmazonBedrockStudioPermissionsBoundary政策授予 Amazon 基岩工作室的讀取和寫入訪問權限,例如 Amazon S3,Amazon 基岩,Amazon 無服務器和 OpenSearch AWS Lambda。 該政策還為使用這些服務所需的某些基礎設施資源提供讀取和寫入許可,例如 AWS Secrets Manager 密碼、Amazon CloudWatch 日誌群組和 AWS KMS 鑰匙。

此原則包含下列權限集。

  • s3— 允許讀取和寫入存取 Amazon S3 儲存貯體中由 Amazon 基岩工作室管理的物件。

  • bedrock— 授予使用 Amazon 基岩工作室管理的 Amazon 基岩代理程式、知識庫和護欄的能力。

  • aoss— 允許API訪問由 Amazon 基岩工作室管理的 Amazon OpenSearch 無服務器集合。

  • lambda— 授予調用的能力 AWS Lambda 由 Amazon 基岩工作室管理的功能。

  • secretsmanager— 允許讀取和寫入訪問由 Amazon 基岩工作室管 Secrets Manager 的秘密管理器秘密。AWS

  • logs— 提供對 Amazon 基岩工作室管理的 Amazon CloudWatch 日誌的寫入訪問權限。

  • kms— 授予使用權限 AWS 用於加密 Amazon 基岩工作室資料的金鑰。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessS3Buckets", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListBucketVersions", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:DeleteObjectVersion" ], "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AccessOpenSearchCollections", "Effect": "Allow", "Action": "aoss:APIAccessAll", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "InvokeBedrockModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "arn:aws:bedrock:*::foundation-model/*" }, { "Sid": "AccessBedrockResources", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent", "bedrock:Retrieve", "bedrock:StartIngestionJob", "bedrock:GetIngestionJob", "bedrock:ListIngestionJobs", "bedrock:ApplyGuardrail", "bedrock:ListPrompts", "bedrock:GetPrompt", "bedrock:CreatePrompt", "bedrock:DeletePrompt", "bedrock:CreatePromptVersion", "bedrock:InvokeFlow", "bedrock:ListTagsForResource", "bedrock:TagResource", "bedrock:UntagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "RetrieveAndGenerate", "Effect": "Allow", "Action": "bedrock:RetrieveAndGenerate", "Resource": "*" }, { "Sid": "WriteLogs", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "InvokeLambdaFunctions", "Effect": "Allow", "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:*:*:function:br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "AccessSecretsManagerSecrets", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "UseKmsKeyWithBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "Null": { "kms:EncryptionContext:aws:bedrock:arn": "false" } } }, { "Sid": "UseKmsKeyWithAwsServices", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com", "secretsmanager.*.amazonaws.com" ] } } } ] }

Amazon 基岩更新 AWS 受管政策

檢視有關更新的詳細資訊 AWS 自此服務開始追蹤這些變更以來,Amazon 基岩的受管政策。如需有關此頁面變更的自動警示,請訂閱上的動RSS態消息Amazon Bedrock 使用者指南的文件歷史記錄

變更 描述 日期

AmazonBedrockReadOnly-更新的政策

Amazon 基岩新增推論設定檔唯讀許可。

2024年8月27日

AmazonBedrockReadOnly-更新的政策

Amazon 基岩更新了 AmazonBedrockReadOnly 政策,包括 Amazon 基岩護欄、Amazon 基岩模型評估和 Amazon 基岩 Batch 推論的唯讀許可。

2024年8月21 日

AmazonBedrockReadOnly-更新的政策

Amazon 基岩新增批次推論 (模型叫用任務) 唯讀許可。

2024年8月21 日

AmazonBedrockStudioPermissionsBoundary – 新政策

Amazon 基岩發布了該政策的第一個版本。

2024年7月31 日

AmazonBedrockFullAccess – 新政策

Amazon Bedrock 新增了新政策,授予使用者建立、讀取、更新和刪除資源的許可權。

2023 年 12 月 12 日

AmazonBedrockReadOnly – 新政策

Amazon Bedrock 新增了新政策,為使用者提供所有動作的唯讀許可權。

2023 年 12 月 12 日

Amazon Bedrock 開始追蹤變更

Amazon 基岩開始跟踪其更改 AWS 受管理的策略。

2023 年 12 月 12 日