AWS-verwaltete Richtlinien für Amazon Bedrock - Amazon Bedrock
AmazonBedrockFullAccessAmazonBedrockReadOnlyAmazonBedrockLimitedAccessAmazonBedrockMarketplaceAccessRichtlinienaktualisierungen

AWS-verwaltete Richtlinien für Amazon Bedrock

Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, von AWS verwaltete Richtlinien zu verwenden, als selbst Richtlinien zu schreiben. Es erfordert Zeit und Fachwissen, um von Kunden verwaltete IAM-Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere von AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem verfügbar AWS-Konto.

Eine Liste der von AWS verwalteten Richtlinien finden Sie unter Von AWS verwaltete Richtlinien in der Referenz zu AWS-verwalteten Richtlinien. Weitere Informationen zu verwalteten AWS-Richtlinien finden Sie unter Verwaltete AWS-Richtlinien im IAM-Leitfaden.

AWS-Services pflegen und Aktualisieren von verwalteten AWS-Richtlinien. Die Berechtigungen in von AWS verwalteten Richtlinien können nicht geändert werden. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Services entfernen keine Berechtigungen aus einer von AWS verwalteten Richtlinie, so dass Richtlinien-Aktualisierungen Ihre vorhandenen Berechtigungen nicht beeinträchtigen.

Darüber hinaus unterstützt AWS verwaltete Richtlinien für Auftragsfunktionen, die mehrere Services umfassen. Die von ReadOnlyAccessAWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS-Services und -Ressourcen. Wenn ein Service ein neues Feature startet, fügt AWS schreibgeschützte Berechtigungen für neue Vorgänge und Ressourcen hinzu. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in Verwaltete AWS-Richtlinien für Auftragsfunktionen im IAM-Leitfaden.

AWS-verwaltete Richtlinie: AmazonBedrockFullAccess

Sie können Ihren IAM-Identitäten die AmazonBedrockFullAccess-Richtlinie anfügen, um Administratorberechtigungen zu gewähren, mit denen Benutzer Amazon-Bedrock-Ressourcen erstellen, lesen, aktualisieren und löschen können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • ec2 (Amazon Elastic Compute Cloud): Gewährt Berechtigungen zum Beschreiben von VPCs, Subnetzen und Sicherheitsgruppen.

  • iam (AWS Identity and Access Management): Ermöglicht Prinzipalen die Übergabe von Rollen, erlaubt jedoch nur die Weitergabe von IAM-Rollen mit „Amazon Bedrock“ an den Amazon-Bedrock-Service. Die Berechtigungen sind auf bedrock.amazonaws.com für Amazon-Bedrock-Operationen beschränkt.

  • kms (AWS Key Management Service): Ermöglicht es Prinzipalen, AWS KMS-Schlüssel und Aliase zu beschreiben.

  • bedrock (Amazon Bedrock): Ermöglicht Prinzipalen Lese- und Schreibzugriff auf alle Aktionen in der Amazon-Bedrock-Steuerebene und im Runtime-Service.

  • sagemaker (Amazon SageMaker AI) – Ermöglicht Prinzipalen den Zugriff auf die Ressourcen von Amazon SageMaker AI im Kundenkonto, das als Grundlage für das Feature Amazon Bedrock Marketplace dient.

JSON
{
     "Version":"2012-10-17",		 	 	 		 	 	 
     "Statement": [
         {
             "Sid": "BedrockAll",
             "Effect": "Allow",
             "Action": [
                 "bedrock:*"
             ],
             "Resource": "*"
         },
         {
             "Sid": "DescribeKey",
             "Effect": "Allow",
             "Action": [
                 "kms:DescribeKey"
             ],
             "Resource": "arn:*:kms:*:::*"
         },
         {
             "Sid": "APIsWithAllResourceAccess",
             "Effect": "Allow",
             "Action": [
                 "iam:ListRoles",
                 "ec2:DescribeVpcs",
                 "ec2:DescribeSubnets",
                 "ec2:DescribeSecurityGroups"
             ],
             "Resource": "*"
         },
         {
             "Sid": "MarketplaceModelEndpointMutatingAPIs",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:CreateEndpoint",
                 "sagemaker:CreateEndpointConfig",
                 "sagemaker:CreateModel",
                 "sagemaker:DeleteEndpoint",
                 "sagemaker:UpdateEndpoint"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com",
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointAddTagsOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:AddTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "ForAllValues:StringEquals": {
                     "aws:TagKeys": [
                         "sagemaker-sdk:bedrock",
                         "bedrock:marketplace-registration-status",
                         "sagemaker-studio:hub-content-arn"
                     ]
                 },
                 "StringLike": {
                     "aws:RequestTag/sagemaker-sdk:bedrock": "compatible",
                     "aws:RequestTag/bedrock:marketplace-registration-status": "registered",
                     "aws:RequestTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointDeleteTagsOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DeleteTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "ForAllValues:StringEquals": {
                     "aws:TagKeys": [
                         "sagemaker-sdk:bedrock",
                         "bedrock:marketplace-registration-status",
                         "sagemaker-studio:hub-content-arn"
                     ]
                 },
                 "StringLike": {
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible",
                     "aws:ResourceTag/bedrock:marketplace-registration-status": "registered",
                     "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointNonMutatingAPIs",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DescribeEndpoint",
                 "sagemaker:DescribeEndpointConfig",
                 "sagemaker:DescribeModel",
                 "sagemaker:DescribeInferenceComponent",
                 "sagemaker:ListEndpoints",
                 "sagemaker:ListTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointInvokingOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:InvokeEndpoint",
                 "sagemaker:InvokeEndpointWithResponseStream"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com",
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
                 }
             }
         },
         {
             "Sid": "DiscoveringMarketplaceModel",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DescribeHubContent"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*",
                 "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
             ]
         },
         {
             "Sid": "AllowMarketplaceModelsListing",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:ListHubContents"
             ],
             "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
         },
         {
             "Sid": "PassRoleToSageMaker",
             "Effect": "Allow",
             "Action": [
                 "iam:PassRole"
             ],
             "Resource": [
                 "arn:aws:iam::*:role/*SageMaker*ForBedrock*"
             ],
             "Condition": {
                 "StringEquals": {
                     "iam:PassedToService": [
                         "sagemaker.amazonaws.com",
                         "bedrock.amazonaws.com"
                     ]
                 }
             }
         },
         {
             "Sid": "PassRoleToBedrock",
             "Effect": "Allow",
             "Action": [
                 "iam:PassRole"
             ],
             "Resource": "arn:aws:iam::*:role/*AmazonBedrock*",
             "Condition": {
                 "StringEquals": {
                     "iam:PassedToService": [
                         "bedrock.amazonaws.com"
                     ]
                 }
             }
         },
         {
             "Sid": "MarketplaceOperationsFromBedrockFor3pModels",
             "Effect": "Allow",
             "Action": [
                 "aws-marketplace:Subscribe",
                 "aws-marketplace:ViewSubscriptions",
                 "aws-marketplace:Unsubscribe"
             ],
             "Resource": "*",
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com"
                 }
             }
         }
     ]
 }

AWS-verwaltete Richtlinie: AmazonBedrockReadOnly

Sie können die AmazonBedrockReadOnly-Richtlinie an Ihre IAM-Identitäten anhängen, um schreibgeschützten Zugriff auf alle Ressourcen in Amazon Bedrock zu gewähren.

Von AWS verwaltete Richtlinie: AmazonBedrockLimitedAccess

Sie können die AmazonBedrockLimitedAccess-Richtlinie an Ihre IAM-Identitäten anhängen, um ihnen Zugriff auf Amazon-Bedrock-Services, AWS KMS-Schlüsselverwaltung, Netzwerkressourcen und AWS-Marketplace-Abonnements für Basismodelle von Drittanbietern zu gewähren. Die Richtlinie enthält die folgenden Anweisungen.

  • Mit der BedrockAPIs-Anweisung können Sie verschiedene Operationen in Amazon Bedrock ausführen, darunter:

    • Weitergabe des Schlüssels der Amazon-Bedrock-API bei API-Anfragen an den Amazon-Bedrock-Service

    • Beschreibung von Informationen zu Ressourcen

    • Erstellung von Ressourcen (Integritätsschutz, Modelle, Aufträge)

    • Erstellung und Verfeinerung von Richtlinien für Automated Reasoning (Richtlinien erstellen, aufsetzen, verfeinern und testen).

    • Löschen von Ressourcen

    • Aufrufen von Modellen für alle Ressourcen

  • Die DescribeKey-Anweisung ermöglicht es Ihnen, Informationen zu KMS-Schlüsseln in allen Regionen und Konten einzusehen, sofern die Richtlinien für die Schlüssel dies zulassen.

  • Die APIsWithAllResourceAccess-Anweisung ermöglicht Ihnen Folgendes:

    • Listen Sie die IAM-Rollen auf.

    • Beschreiben von Amazon-VPC-Ressourcen (VPCs, Subnetze und Sicherheitsgruppen) für alle Ressourcen

  • Die MarketplaceOperationsFromBedrockFor3pModels-Anweisung ermöglicht Ihnen Folgendes:

    • Abonnieren von AWS Marketplace-Angeboten

    • Anzeigen von Abonnements

    • Abbestellen von AWS Marketplace-Angeboten

    Anmerkung

    Der Bedingungsschlüssel aws:CalledViaLast schränkt diese Aktionen nur dann ein, wenn sie über den Amazon-Bedrock-Service aufgerufen werden.

Von AWS verwaltete Richtlinie: AmazonBedrockMarketplaceAccess

Sie können die AmazonBedrockMarketplaceAccess-Richtlinie an Ihre IAM-Identitäten anhängen, damit sie Endpunkte des Modells von Amazon Bedrock Marketplace mit SageMaker-AI-Integration verwalten und verwenden kann. Die Richtlinie enthält die folgenden Anweisungen.

  • Die BedrockMarketplaceAPIs-Anweisung ermöglicht es Ihnen, Marketplace-Modellendpunkte in Amazon Bedrock auf allen Ressourcen zu erstellen, zu löschen, zu registrieren, abzumelden und zu aktualisieren.

  • Die MarketplaceModelEndpointMutatingAPIs-Anweisung ermöglicht es Ihnen, SageMaker-AI-Endpunkte, Endpunktkonfigurationen und Modelle auf bestimmten Ressourcen zu erstellen und zu verwalten.

    • Verwenden Sie den aws:CalledViaLast-Bedingungsschlüssel, um sicherzustellen, dass diese Aktionen nur ausgeführt werden, wenn sie über Bedrock aufgerufen werden.

    • Verwenden Sie den aws:ResourceTag/sagemaker-sdk:bedrock-Bedingungsschlüssel, um sicherzustellen, dass diese Aktionen nur für Ressourcen ausgeführt werden, die als Amazon-Bedrock-kompatibel markiert sind.

  • Die MarketplaceModelEndpointAddTagsOperations-Anweisung ermöglicht es Ihnen, SageMaker-AI-Endpunkten, Endpunktkonfigurationen und Modellen auf bestimmten Ressourcen spezifische Tags hinzuzufügen.

    • Verwenden Sie den aws:TagKeys-Bedingungsschlüssel, um einzuschränken, welche Tags hinzugefügt werden können.

    • Verwenden Sie den aws:RequestTag/*-Bedingungsschlüssel, um sicherzustellen, dass die Tag-Werte den angegebenen Mustern entsprechen.

  • Die MarketplaceModelEndpointDeleteTagsOperations-Anweisung ermöglicht es Ihnen, spezifische Tags aus SageMaker-AI-Endpunkten, Endpunktkonfigurationen und Modellen auf bestimmten Ressourcen zu löschen.

    • Verwenden Sie den aws:TagKeys-Bedingungsschlüssel, um einzuschränken, welche Tags gelöscht werden können.

    • Verwenden Sie den aws:ResourceTag/*-Bedingungsschlüssel, um sicherzustellen, dass die gelöschten Tags den angegebenen Mustern entsprechen.

  • Die MarketplaceModelEndpointNonMutatingAPIs-Anweisung ermöglicht es Ihnen, SageMaker-AI-Endpunkte, Endpunktkonfigurationen und Modelle auf bestimmten Ressourcen anzuzeigen und zu beschreiben.

    • Verwenden Sie den aws:CalledViaLast-Bedingungsschlüssel, um sicherzustellen, dass diese Aktionen nur über den Amazon-Bedrock-Service ausgeführt werden.

  • Die MarketplaceModelEndpointInvokingOperations-Anweisung ermöglicht das Aufrufen von SageMaker AI-Endpunkten auf bestimmten Ressourcen.

    • Verwenden Sie den aws:CalledViaLast-Bedingungsschlüssel, um sicherzustellen, dass diese Aktionen nur über den Amazon-Bedrock-Service ausgeführt werden.

    • Verwenden Sie den aws:ResourceTag/sagemaker-sdk:bedrock-Bedingungsschlüssel, um sicherzustellen, dass Aktionen nur für Amazon-Bedrock-kompatible Ressourcen ausgeführt werden.

  • Die DiscoveringMarketplaceModel-Anweisung ermöglicht die Beschreibung von Hub-Inhalten von SageMaker AI auf bestimmten Ressourcen.

  • Die AllowMarketplaceModelsListing-Anweisung ermöglicht die Auflistung von Hub-Inhalten von SageMaker AI auf bestimmten Ressourcen.

  • Die PassRoleToSageMaker-Anweisung ermöglicht die Übergabe von IAM-Rollen an SageMaker AI und Amazon Bedrock für bestimmte Ressourcen.

    • Verwenden Sie den iam:PassedToService-Bedingungsschlüssel, um sicherzustellen, dass Rollen nur an bestimmte Services übergeben werden.

  • Die PassRoleToBedrock-Anweisung ermöglicht es Ihnen, bestimmte IAM-Rollen an Amazon Bedrock für bestimmte Ressourcen zu übergeben.

    • Verwenden Sie den iam:PassedToService-Bedingungsschlüssel, um sicherzustellen, dass Rollen nur an den Amazon-Bedrock-Service übergeben werden.

Änderungen von Amazon Bedrock an AWS-verwalteten Richtlinien

Zeigen Sie Details zu Aktualisierungen der AWS-verwalteten Richtlinien für Amazon Bedrock an, seit die Änderungsverfolgung für diesen Service besteht. Um automatische Warnungen über Änderungen an dieser Seite erhalten, abonnieren Sie den RSS-Feed auf Dokumentverlauf für das Amazon-Bedrock-Benutzerhandbuch.

Änderung Beschreibung Datum

AmazonBedrockFullAccess – aktualisierte Richtlinie

Amazon Bedrock hat die verwaltete AmazonBedrockFullAccess-Richtlinie aktualisiert, um standardmäßig den Zugriff auf alle Serverless-Basismodelle zu ermöglichen.

 14. Juli 2025

AmazonBedrockMarketplaceAccess – neue Richtlinie

Amazon Bedrock hat eine neue Richtlinie hinzugefügt, mit der Kunden über einen SageMaker-AI-Endpunkt Zugriff auf Basismodelle von Amazon Bedrock Marketplace erhalten.

 13. Juni 2025

AmazonBedrockLimitedAccess – neue Richtlinie

Amazon Bedrock hat eine neue Richtlinie hinzugefügt, damit Kunden grundlegende Berechtigungen für den Zugriff auf wichtige Aktionen in Amazon Bedrock erhalten.

 13. Juni 2025

AmazonBedrockFullAccess – aktualisierte Richtlinie

Amazon Bedrock hat die verwaltete Richtlinie AmazonBedrockFullAccess aktualisiert, damit Kunden die notwendigen Berechtigungen erhalten, um Ressourcen von Amazon Bedrock Marketplace zu erstellen, zu lesen, zu aktualisieren und zu löschen. Dazu gehören Berechtigungen zur Verwaltung der zugrundeliegenden Ressourcen von Amazon SageMaker AI, da diese als Grundlage für die Funktionalität von Amazon Bedrock Marketplace dienen.

 4. Dezember 2024

AmazonBedrockReadOnly – aktualisierte Richtlinie

Amazon Bedrock hat die verwaltete Richtlinie AmazonBedrockReadOnly aktualisiert, damit Kunden die notwendigen Berechtigungen erhalten, um Ressourcen von Amazon Bedrock Marketplace zu lesen. Dazu gehören Berechtigungen zur Verwaltung der zugrundeliegenden Ressourcen von Amazon SageMaker AI, da diese als Grundlage für die Funktionalität von Amazon Bedrock Marketplace dienen.

 4. Dezember 2024

AmazonBedrockReadOnly – aktualisierte Richtlinie

Amazon Bedrock hat die AmazonBedrockReadOnly-Richtlinie aktualisiert, sodass sie Leseberechtigungen für den Import von benutzerdefinierten Modellen enthält.

 18. Oktober 2024

AmazonBedrockReadOnly – aktualisierte Richtlinie

Amazon Bedrock hat Leseberechtigungen für das Inferenzprofil hinzugefügt.

 27. August 2024

AmazonBedrockReadOnly – aktualisierte Richtlinie

Amazon Bedrock hat die AmazonBedrockReadOnly-Richtlinie aktualisiert und um Leseberechtigungen für den Integritätsschutz für Amazon Bedrock, die Amazon-Bedrock-Modellbewertung und Batch-Inferenz von Amazon Bedrock ergänzt.

 21. August 2024

AmazonBedrockReadOnly – aktualisierte Richtlinie

Amazon Bedrock hat Leseberechtigungen für Batch-Inferenz (Modelaufrufauftrag) hinzugefügt.

 21. August 2024

AmazonBedrockReadOnly – aktualisierte Richtlinie

Amazon Bedrock hat die AmazonBedrockReadOnly-Richtlinie aktualisiert, sodass sie Leseberechtigungen für den benutzerdefinierten Modellimport für Amazon Bedrock enthält.

 3. September 2024

AmazonBedrockFullAccess: Neue Richtlinie

Amazon Bedrock hat eine neue Richtlinie hinzugefügt, damit Benutzer Ressourcen erstellen, lesen, aktualisieren und löschen dürfen.

 12. Dezember 2023

AmazonBedrockReadOnly: Neue Richtlinie

Amazon Bedrock hat eine neue Richtlinie hinzugefügt, die Benutzern schreibgeschützten Zugriff auf alle Aktionen gewährt.

 12. Dezember 2023

Amazon Bedrock hat mit der Nachverfolgung von Änderungen begonnen

Amazon Bedrock hat mit der Nachverfolgung von Änderungen für seine AWS-verwaltete Richtlinien begonnen.

 12. Dezember 2023