Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Concesión de permisos de IAM para solicitar acceso a un modelo fundacional de Amazon Bedrock
El acceso a los modelos básicos sin servidor de Amazon Bedrock se controla mediante las siguientes acciones de IAM:
| Acción de IAM | Descripción | ¿A qué modelos se aplica? |
|---|---|---|
| roca madre: PutFoundationModelEntitlement | Permite que una identidad de IAM solicite acceso a los modelos básicos sin servidor de Amazon Bedrock. | Todos los modelos sin servidor de Amazon Bedrock |
| AWS-Marketplace: suscríbase |
Permite a una entidad de IAM suscribirse a AWS Marketplace productos, incluidos los modelos básicos de Amazon Bedrock. |
Solo los modelos sin servidor de Amazon Bedrock que tengan un identificador de producto. AWS Marketplace |
| AWS-Marketplace: cancelar la suscripción | Permite que una identidad de IAM cancele la suscripción a AWS Marketplace los productos, incluidos los modelos de base Amazon Bedrock. | Solo los modelos sin servidor de Amazon Bedrock que tengan un identificador de producto. AWS Marketplace |
| aws-marketplace: ViewSubscriptions | Permite que una identidad de IAM devuelva una lista de AWS Marketplace productos, incluidos los modelos de base Amazon Bedrock. | Solo los modelos sin servidor de Amazon Bedrock que tengan un identificador de producto. AWS Marketplace |
nota
Solo para esta acción aws-marketplace:Subscribe, puede usar la clave de condición aws-marketplace:ProductId para restringir la suscripción a modelos específicos.
Para obtener una identidad de IAM para solicitar acceso a los modelos
La identidad debe tener una política adjunta que permita las siguientes acciones:
-
bedrock:PutFoundationModelEntitlement -
aws-marketplace:Subscribe(solo si el modelo tiene un identificador de producto)nota
Si una identidad ya está suscrita a un modelo en una AWS región, el modelo estará disponible para que la identidad solicite acceso en todas AWS las regiones en las que esté disponible el modelo, incluso si
aws-marketplace:Subscribese lo deniega en otras regiones.Para evitar la suscripción a todos los modelos en regiones específicas, usa esta
bedrock:PutFoundationModelEntitlementacción. Para ver un ejemplo, consulta Impida que una identidad solicite acceso a modelos en regiones específicas.
Seleccione una sección para ver ejemplos de políticas de IAM para un caso de uso específico:
Temas
Permita que una identidad solicite acceso a un modelo específico
Evita que una identidad solicite acceso a un modelo con un identificador de producto
Impida que una identidad solicite acceso a modelos en regiones específicas
Impida que una identidad utilice un modelo después de que ya se haya concedido el acceso
Permita que una identidad solicite acceso a un modelo específico
Para que una entidad de IAM solicite acceso a un modelo, debe tener como mínimo los siguientes permisos:
-
bedrock:PutFoundationModelEntitlement— ElResourcecampo debe ser.* -
(Si el modelo tiene un identificador de producto)
aws-marketplace:Subscribe: elResourcecampo debe serlo*. Puedes usar la clave deaws-marketplace:ProductIdcondición para determinar el alcance de la suscripción a modelos específicos.
nota
Una vez que una identidad de IAM ya haya solicitado el acceso a un modelo en una AWS región, solo necesitará permisos para realizar la bedrock:PutFoundationModelEntitlement acción de solicitar el acceso al modelo en otras regiones. La aws-marketplace:Subscribe acción ya no es necesaria.
Por ejemplo, puede adjuntar la siguiente política a una identidad para que pueda suscribirse al Anthropic Claude 3.5 Sonnet modelo por primera vez:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:Subscribe" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws-marketplace:ProductId": [ "prod-m5ilt4siql27k" ] } } }, { "Effect": "Allow", "Action": [ "bedrock:PutFoundationModelEntitlement" ], "Resource": "*" } ] }
nota
Esta política es escalable, ya que puedes añadir el acceso a los modelos de forma incremental con la clave de condición del identificador del producto, según sea necesario.
En el caso de los modelos que no tienen un identificador de productoAmazon Nova Micro, o si el modelo ya está suscrito en una región, basta con una política que contenga únicamente la siguiente declaración:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:PutFoundationModelEntitlement" ], "Resource": "*" } ] }
Evita que una identidad solicite acceso a un modelo con un identificador de producto
Para evitar que una entidad de IAM solicite acceso a un modelo específico que tenga un identificador de producto, adjunte al usuario una política de IAM que deniegue la aws-marketplace:Subscribe acción y asigne el Condition campo al identificador de producto del modelo.
Por ejemplo, puedes adjuntar la siguiente política a una identidad para evitar que se suscriba al modelo: Anthropic Claude 3.5 Sonnet
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-marketplace:Subscribe" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws-marketplace:ProductId": [ "prod-m5ilt4siql27k" ] } } } ] }
nota
Con esta política, la entidad de IAM tendrá acceso a todos los modelos recién añadidos de forma predeterminada.
Si la identidad ya se ha suscrito al modelo en al menos una región, esta política no impide el acceso en otras regiones. En su lugar, puedes probar uno de los siguientes ejemplos:
-
Para evitar por completo la suscripción a modelos de otras regiones, consulta el ejemplo de Impedir que una identidad solicite acceso a modelos en regiones específicas.
-
Para evitar el uso de un modelo, consulta el ejemplo de Impedir que una identidad utilice un modelo después de que ya se haya concedido el acceso.
Impida que una identidad solicite acceso a modelos en regiones específicas
Si una identidad de IAM ya ha solicitado el acceso a un modelo en una región, puedes controlar el acceso a la suscripción del modelo en otras regiones incluyendo la bedrock:PutFoundationModelEntitlement acción en una declaración y utilizando la clave de aws:RequestedRegion condición global.
Por ejemplo, puedes adjuntar la siguiente política a una identidad de IAM para que solo pueda solicitar acceso a modelos en las regiones de EE. UU.:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:PutFoundationModelEntitlement" ], "Resource": "*", "Condition": { "StringLike": { "aws:RequestedRegion": "us-*" } } } ] }
nota
bedrock:PutFoundationModelEntitlementno se aplica a modelos específicos, por lo que no puedes controlar el acceso de una identidad a modelos específicos si no tiene un identificador de producto o si la identidad ya tiene acceso al modelo de otra región. En su lugar, puedes controlar el uso del modelo siguiendo el ejemplo de Impedir que una identidad utilice un modelo después de que ya se haya concedido el acceso.
Impida que una identidad utilice un modelo después de que ya se haya concedido el acceso
Si ya se ha concedido acceso a un modelo a una identidad de IAM, puede impedir el uso del modelo denegando todas las acciones de Amazon Bedrock y limitando el Resource campo al ARN del modelo base.
Por ejemplo, puede adjuntar la siguiente política a una identidad para evitar que utilice el Anthropic Claude 3.5 Sonnet modelo en todas las regiones: AWS
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "bedrock:*" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0" ] } ] }
