本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Bedrock Agentcore 的動作、資源和條件索引鍵
Amazon Bedrock Agentcore (服務字首:bedrock-agentcore) 提供下列服務特定的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
Amazon Bedrock Agentcore 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
動作資料表的存取層級欄說明動作的分類方式 (列出、讀取、許可管理或標記)。此分類可協助您了解在政策中使用某動作時,該動作授予您的存取層級。如需存取層級的詳細資訊,請參閱政策摘要中的存取層級。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
動作資料表的相依動作欄會顯示成功呼叫動作所需的其他許可。除了 動作本身的許可之外,還需要這些許可。當動作指定相依動作時,這些相依性可能適用於針對該動作定義的其他資源,而不只是資料表中列出的第一個資源。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AllowVendedLogDeliveryForResource [僅限許可] | 准許設定資源的付費遙測 | 許可管理 | |||
| ConnectBrowserAutomationStream | 准許連線至瀏覽器自動化串流 | 讀取 | |||
| ConnectBrowserLiveViewStream | 准許連線至瀏覽器即時檢視串流 | 讀取 | |||
| CreateAgentRuntime | 准許建立新的代理程式執行時間 | 寫入 |
iam:PassRole |
||
| CreateAgentRuntimeEndpoint | 准許建立新的代理程式執行期端點 | 寫入 | |||
| CreateApiKeyCredentialProvider | 准許建立新的 API 金鑰登入資料提供者 | 寫入 | |||
| CreateBrowser | 准許建立新的自訂瀏覽器 | 寫入 | |||
| CreateCodeInterpreter | 准許建立新的自訂程式碼解譯器 | 寫入 | |||
| CreateEvent | 准許建立 事件 | 寫入 | |||
| CreateGateway | 准許建立新的閘道 | 寫入 |
iam:PassRole |
||
| CreateGatewayTarget | 准許在現有閘道中建立新的目標 | 寫入 | |||
| CreateMemory | 准許建立記憶體資源 | 寫入 |
iam:PassRole |
||
| CreateOauth2CredentialProvider | 准許建立新的登入資料提供者,以使用 OAuth2 通訊協定存取外部資源 | 寫入 | |||
| CreateWorkloadIdentity | 准許建立新的工作負載身分 | 寫入 | |||
| DeleteAgentRuntime | 准許刪除代理程式執行時間 | 寫入 | |||
| DeleteAgentRuntimeEndpoint | 准許刪除代理程式執行期端點 | 寫入 | |||
| DeleteApiKeyCredentialProvider | 准許刪除已註冊的 API 金鑰登入資料提供者 | 寫入 | |||
| DeleteBrowser | 准許刪除自訂瀏覽器 | 寫入 | |||
| DeleteCodeInterpreter | 准許刪除自訂程式碼解譯器 | 寫入 | |||
| DeleteEvent | 准許刪除事件 | 寫入 | |||
| DeleteGateway | 准許刪除現有的閘道 | 寫入 | |||
| DeleteGatewayTarget | 准許刪除現有的閘道目標 | 寫入 | |||
| DeleteMemory | 准許刪除記憶體資源 | 寫入 | |||
| DeleteMemoryRecord | 准許刪除記憶體記錄 | 寫入 | |||
| DeleteOauth2CredentialProvider | 准許刪除已註冊的 OAuth2 登入資料提供者 | 寫入 | |||
| DeleteWorkloadIdentity | 准許刪除已註冊的工作負載身分 | 寫入 | |||
| GetAgentRuntime | 准許取得代理程式執行時間的詳細資訊 | 讀取 | |||
| GetAgentRuntimeEndpoint | 准許取得代理程式執行期端點的詳細資訊 | 讀取 | |||
| GetApiKeyCredentialProvider | 准許依其名稱擷取已註冊的 API 金鑰登入資料提供者 | 讀取 | |||
| GetBrowser | 准許取得瀏覽器的詳細資訊 | 讀取 | |||
| GetBrowserSession | 准許取得瀏覽器工作階段的詳細資訊 | 讀取 | |||
| GetCodeInterpreter | 准許取得程式碼解譯器的詳細資訊 | 讀取 | |||
| GetCodeInterpreterSession | 准許取得程式碼解譯器工作階段的詳細資訊 | 讀取 | |||
| GetEvent | 准許擷取事件 | 讀取 | |||
| GetGateway | 准許擷取現有的閘道 | 讀取 | |||
| GetGatewayTarget | 准許擷取現有的閘道目標 | 讀取 | |||
| GetMemory | 准許擷取記憶體資源的詳細資訊 | 讀取 | |||
| GetMemoryRecord | 准許擷取記憶體記錄 | 讀取 | |||
| GetOauth2CredentialProvider | 准許依其名稱擷取已註冊的 OAuth2 登入資料提供者 | 讀取 | |||
| GetResourceApiKey | 准許擷取與 Api 金鑰登入資料提供者相關聯的 API 金鑰 | 讀取 | |||
| GetResourceOauth2Token | 准許使用 OAuth2 2LO 或 3LO 流程擷取存取字符,以存取外部資源 | 讀取 | |||
| GetTokenVault | 准許擷取 TokenVault 的目前組態,包括加密設定 | 讀取 | |||
| GetWorkloadAccessToken | 准許擷取未代表使用者的代理工作負載的工作負載存取權杖 | 寫入 | |||
| GetWorkloadAccessTokenForJWT | 准許擷取代理程式工作負載存取字符,以代表使用 JWT 字符的使用者 | 寫入 | |||
| GetWorkloadAccessTokenForUserId | 准許擷取代理程式工作負載的工作負載存取權杖,以代表具有使用者 ID 的使用者 | 寫入 | |||
| GetWorkloadIdentity | 准許擷取特定工作負載身分的詳細資訊,包括其名稱和允許的 OAuth2 傳回 URLs | 讀取 | |||
| InvokeAgentRuntime | 准許叫用代理程式執行期端點 | 寫入 | |||
| InvokeCodeInterpreter | 准許叫用程式碼解譯器工作階段 | 寫入 | |||
| ListActors | 准許列出演員 | 清單 | |||
| ListAgentRuntimeEndpoints | 准許列出代理程式執行時間端點 | 清單 | |||
| ListAgentRuntimeVersions | 准許列出代理程式執行時間版本 | 清單 | |||
| ListAgentRuntimes | 准許列出代理程式執行時間 | 清單 | |||
| ListApiKeyCredentialProviders | 准許列出字符保存庫中的所有 API 金鑰登入資料提供者 | 讀取 | |||
| ListBrowserSessions | 准許列出瀏覽器工作階段 | 清單 | |||
| ListBrowsers | 准許列出瀏覽器 | 清單 | |||
| ListCodeInterpreterSessions | 准許列出程式碼解譯器工作階段 | 清單 | |||
| ListCodeInterpreters | 准許列出程式碼解譯器 | 清單 | |||
| ListEvents | 准許列出事件 | 清單 | |||
| ListGatewayTargets | 准許列出現有的閘道目標 | 清單 | |||
| ListGateways | 准許列出現有的閘道 | 清單 | |||
| ListMemories | 准許列出記憶體資源 | 清單 | |||
| ListMemoryRecords | 准許列出記憶體記錄 | 清單 | |||
| ListOauth2CredentialProviders | 准許列出 Token Vault 中的所有 OAuth2 登入資料提供者 | 讀取 | |||
| ListSessions | 准許列出工作階段 | 清單 | |||
| ListWorkloadIdentities | 准許列出發起人 中的所有工作負載身分 AWS 帳戶 | 讀取 | |||
| RetrieveMemoryRecords | 准許透過語意查詢擷取記憶體記錄 | 清單 | |||
| SetTokenVaultCMK | 准許將客戶受管金鑰 (CMK) 或服務受管金鑰與特定 TokenVault 建立關聯 | 讀取 | |||
| StartBrowserSession | 准許啟動新的瀏覽器工作階段 | 寫入 | |||
| StartCodeInterpreterSession | 准許啟動新的程式碼解譯器工作階段 | 寫入 | |||
| StopBrowserSession | 准許停止瀏覽器工作階段 | 寫入 | |||
| StopCodeInterpreterSession | 准許停止程式碼解譯器工作階段 | 寫入 | |||
| SynchronizeGatewayTargets [僅限許可] | 准許在閘道上啟用搜尋 | 許可管理 | |||
| UpdateAgentRuntime | 准許更新代理程式執行時間 | 寫入 |
iam:PassRole |
||
| UpdateAgentRuntimeEndpoint | 准許更新代理程式執行期端點 | 寫入 | |||
| UpdateApiKeyCredentialProvider | 准許更新現有的 API 金鑰登入資料提供者 | 寫入 | |||
| UpdateBrowserStream | 准許更新瀏覽器工作階段串流的狀態 | 寫入 | |||
| UpdateGateway | 准許更新現有的閘道 | 寫入 |
iam:PassRole |
||
| UpdateGatewayTarget | 准許更新現有的閘道目標 | 寫入 | |||
| UpdateMemory | 准許更新記憶體資源 | 寫入 |
iam:PassRole |
||
| UpdateOauth2CredentialProvider | 准許更新現有的 OAuth2 登入資料提供者 | 寫入 | |||
| UpdateWorkloadIdentity | 准許更新現有工作負載身分的中繼資料 | 寫入 | |||
Amazon Bedrock Agentcore 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| memory |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:memory/${MemoryId}
|
|
| gateway |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:gateway/${GatewayId}
|
|
| workload-identity |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}/workload-identity/${WorkloadIdentityName}
|
|
| oauth2credentialprovider |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/oauth2credentialprovider/${Name}
|
|
| apikeycredentialprovider |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/apikeycredentialprovider/${Name}
|
|
| runtime |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}
|
|
| runtime-endpoint |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}/runtime-endpoint/${Name}
|
|
| code-interpreter-custom |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:code-interpreter-custom/${CodeInterpreterId}
|
|
| code-interpreter |
arn:${Partition}:bedrock-agentcore:${Region}:aws:code-interpreter/${CodeInterpreterId}
|
|
| browser-custom |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:browser-custom/${BrowserId}
|
|
| browser |
arn:${Partition}:bedrock-agentcore:${Region}:aws:browser/${BrowserId}
|
|
| workload-identity-directory |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}
|
|
| token-vault |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}
|
Amazon Bedrock Agentcore 的條件索引鍵
Amazon Bedrock Agentcore 定義了下列條件索引鍵,可用於 IAM 政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有 服務可用的全域條件索引鍵,請參閱AWS 全域條件內容索引鍵。
| 條件索引鍵 | 描述 | Type |
|---|---|---|
| bedrock-agentcore:actorId | 依演員 ID 篩選存取權 | 字串 |
| bedrock-agentcore:namespace | 依命名空間篩選存取權 | 字串 |
| bedrock-agentcore:sessionId | 依工作階段 ID 篩選存取權 | 字串 |
| bedrock-agentcore:strategyId | 依記憶體策略 ID 篩選存取權 | 字串 |
