AmazonBedrockFullAccess AmazonBedrockReadOnly AmazonBedrockLimitedAccess AmazonBedrockMarketplaceAccess Actualizaciones de políticas

AWS políticas gestionadas para Amazon Bedrock

Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas tú mismo. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS.

Para obtener una lista de las políticas AWS administradas, consulte las políticas AWS administradas en la referencia de políticas AWS administradas. Para obtener más información sobre las políticas AWS administradas, consulte las políticas AWS administradas en la Guía del usuario de IAM.

AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política gestionada por AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.

Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política ReadOnlyAccess AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

Temas

AWS política gestionada: AmazonBedrockFullAccess
AWS política gestionada: AmazonBedrockReadOnly
AWS política gestionada: AmazonBedrockLimitedAccess
AWS política gestionada: AmazonBedrockMarketplaceAccess
Amazon Bedrock actualiza las políticas AWS gestionadas

AWS política gestionada: AmazonBedrockFullAccess

Puede adjuntar la AmazonBedrockFullAccesspolítica a sus identidades de IAM para conceder permisos administrativos que permitan al usuario crear, leer, actualizar y eliminar recursos de Amazon Bedrock.

Detalles de los permisos

Esta política incluye los permisos siguientes:

ec2(Amazon Elastic Compute Cloud): permite permisos para describir VPCs, subredes y grupos de seguridad.
iam(AWS Identity and Access Management): permite a los directores transferir funciones, pero solo permite transferir las funciones de IAM que contengan «Amazon Bedrock» al servicio Amazon Bedrock. Los permisos están restringidos a bedrock.amazonaws.com para las operaciones de Amazon Bedrock.
kms(Servicio de administración de AWS claves): permite a los directores describir las claves y los alias. AWS KMS
bedrock (Amazon Bedrock): concede a las entidades principales acceso de lectura y escritura a todas las acciones del plano de control y el servicio de tiempo de ejecución de Amazon Bedrock.
sagemaker(Amazon SageMaker AI): permite a los directores acceder a los recursos de Amazon SageMaker AI de la cuenta del cliente, lo que sirve de base para la función Amazon Bedrock Marketplace.

AWS política gestionada: AmazonBedrockReadOnly

Puede adjuntar la AmazonBedrockReadOnlypolítica a sus identidades de IAM para conceder permisos de solo lectura para ver todos los recursos de Amazon Bedrock.

AWS política gestionada: AmazonBedrockLimitedAccess

Puede adjuntar la AmazonBedrockLimitedAccesspolítica a sus identidades de IAM para permitirle acceder a los servicios de Amazon Bedrock, la administración de AWS KMS claves, los recursos de red y las suscripciones a AWS Marketplace para modelos básicos de terceros. La política incluye las siguientes declaraciones:

La BedrockAPIs declaración le permite realizar varias operaciones en Amazon Bedrock, entre las que se incluyen:
- Pasar la clave de API de Amazon Bedrock al realizar solicitudes de API al servicio Amazon Bedrock.
- Describir la información sobre los recursos.
- Creación de recursos (barandas, modelos, trabajos).
- Crear y refinar políticas de razonamiento automatizado (crear, desarrollar, refinar y probar políticas).
- Eliminar recursos.
- Invocar modelos en todos los recursos.
La DescribeKey declaración le permite ver información sobre las claves de KMS en todas las regiones y cuentas, siempre que las políticas sobre las claves lo permitan.
La APIsWithAllResourceAccess declaración le permite:
- Enumerar los roles de IAM.
- Describa los recursos de Amazon VPC (VPCssubredes y grupos de seguridad) en todos los recursos.
La MarketplaceOperationsFromBedrockFor3pModels declaración le permite:
- Suscríbase a AWS Marketplace las ofertas.
- Ver suscripciones.
- Darse de baja de AWS Marketplace las ofertas.
nota
La clave de condición aws:CalledViaLast restringe estas acciones a solo cuando se invocan a través del servicio Amazon Bedrock.

AWS política gestionada: AmazonBedrockMarketplaceAccess

Puede adjuntar la AmazonBedrockMarketplaceAccesspolítica a sus identidades de IAM para que pueda gestionar y utilizar los puntos finales del modelo de mercado de Amazon Bedrock con SageMaker integración de IA. La política incluye las siguientes declaraciones:

La BedrockMarketplaceAPIs declaración le permite crear, eliminar, registrar, anular el registro y actualizar los puntos de enlace del modelo de mercado en Amazon Bedrock en todos los recursos.
La MarketplaceModelEndpointMutatingAPIs declaración le permite crear y administrar puntos de enlace de SageMaker IA, configuraciones de puntos finales y modelos en recursos específicos.
- Utilice la clave de aws:CalledViaLast condición para asegurarse de que estas acciones solo se realicen cuando se invoquen a través de Bedrock.
- Usa la clave de aws:ResourceTag/sagemaker-sdk:bedrock condición para asegurarte de que estas acciones solo se realicen en recursos etiquetados como compatibles con Amazon Bedrock.
La MarketplaceModelEndpointAddTagsOperations declaración permite añadir etiquetas específicas a los puntos finales de la SageMaker IA, a las configuraciones de los puntos finales y a los modelos de recursos específicos.
- Utilice la clave de aws:TagKeys condición para restringir las etiquetas que se pueden añadir
- Utilice la clave de aws:RequestTag/* condición para asegurarse de que los valores de las etiquetas coincidan con los patrones especificados
La MarketplaceModelEndpointDeleteTagsOperations declaración permite eliminar etiquetas específicas de los puntos finales, las configuraciones de los puntos finales y los modelos de la SageMaker IA en recursos específicos.
- Utilice la clave de aws:TagKeys condición para restringir qué etiquetas se pueden eliminar
- Utilice la clave de aws:ResourceTag/* condición para asegurarse de que las etiquetas eliminadas coincidan con los patrones especificados
La MarketplaceModelEndpointNonMutatingAPIs declaración permite ver y describir los puntos finales, las configuraciones de los puntos finales y los modelos de la SageMaker IA en recursos específicos.
- Usa aws:CalledViaLast la clave de condición para asegurarte de que las acciones solo se realicen a través del servicio Amazon Bedrock
La MarketplaceModelEndpointInvokingOperations declaración permite invocar puntos finales de SageMaker IA en recursos específicos.
- Usa la clave de aws:CalledViaLast condición para asegurarte de que las acciones solo se realicen a través del servicio Amazon Bedrock
- Utilice la clave de aws:ResourceTag/sagemaker-sdk:bedrock condición para asegurarse de que las acciones solo se realicen en recursos compatibles con Bedrock
La DiscoveringMarketplaceModel declaración permite describir el contenido de SageMaker AI Hub en recursos específicos.
La AllowMarketplaceModelsListing declaración permite enumerar el contenido de SageMaker AI Hub en recursos específicos.
La PassRoleToSageMaker declaración permite transferir funciones de IAM a SageMaker AI y Amazon Bedrock en recursos específicos.
- Utilice iam:PassedToService la clave de condición para garantizar que las funciones solo se transfieran a servicios específicos.
La PassRoleToBedrock declaración le permite transferir funciones de IAM específicas a Amazon Bedrock en recursos específicos.
- Utilice la clave de iam:PassedToService condición para asegurarse de que las funciones solo se transfieran al servicio Amazon Bedrock.

Amazon Bedrock actualiza las políticas AWS gestionadas

Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon Bedrock desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en Historial de documentación para la guía de usuario de Amazon Bedrock.

Cambio	Descripción	Fecha
AmazonBedrockMarketplaceAccess: política nueva	Amazon Bedrock agregó una nueva política para conceder a los clientes permisos para acceder a los modelos básicos de Amazon Bedrock Marketplace a través de un punto final de SageMaker IA.	13 de junio de 2025
AmazonBedrockLimitedAccess: política nueva	Amazon Bedrock agregó una nueva política para conceder a los clientes permisos básicos para acceder a las acciones principales de Amazon Bedrock.	13 de junio de 2025
AmazonBedrockFullAccess: política actualizada	Amazon Bedrock actualizó la política AmazonBedrockFullAccess gestionada para conceder a los clientes los permisos necesarios para crear, leer, actualizar y eliminar los recursos de Amazon Bedrock Marketplace. Esto incluye permisos para administrar los recursos de Amazon SageMaker AI subyacentes, ya que sirven de base para la funcionalidad de Amazon Bedrock Marketplace.	4 de diciembre de 2024
AmazonBedrockReadOnly: política actualizada	Amazon Bedrock actualizó la política AmazonBedrockReadOnly gestionada para conceder a los clientes los permisos necesarios para leer los recursos de Amazon Bedrock Marketplace. Esto incluye permisos para administrar los recursos de Amazon SageMaker AI subyacentes, ya que sirven de base para la funcionalidad de Amazon Bedrock Marketplace.	4 de diciembre de 2024
AmazonBedrockReadOnly: política actualizada	Amazon Bedrock actualizó la AmazonBedrockReadOnly política para incluir permisos de solo lectura para la importación de modelos personalizados.	18 de octubre de 2024
AmazonBedrockReadOnly: política actualizada	Amazon Bedrock ha añadido permisos de solo lectura del perfil de inferencia.	27 de agosto de 2024
AmazonBedrockReadOnly: política actualizada	Amazon Bedrock actualizó la AmazonBedrockReadOnly política para incluir permisos de solo lectura para Amazon Bedrock Guardrails, la evaluación del modelo Amazon Bedrock y la inferencia por lotes de Amazon Bedrock.	21 de agosto de 2024
AmazonBedrockReadOnly: política actualizada	Amazon Bedrock ha agregado permisos de solo lectura para inferencia por lotes (trabajo de invocación del modelo).	21 de agosto de 2024
AmazonBedrockReadOnly: política actualizada	Amazon Bedrock actualizó la AmazonBedrockReadOnly política para incluir permisos de solo lectura para la importación de modelos personalizados de Amazon Bedrock.	3 de septiembre de 2024
AmazonBedrockFullAccess: política nueva	Amazon Bedrock agregó una nueva política para otorgar a los usuarios permisos para crear, leer, actualizar y eliminar recursos.	12 de diciembre de 2023
AmazonBedrockReadOnly: política nueva	Amazon Bedrock ha agregado una nueva política para conceder a los usuarios permisos de solo lectura para realizar todas las acciones.	12 de diciembre de 2023
Amazon Bedrock comenzó a hacer un seguimiento de los cambios	Amazon Bedrock comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas.	12 de diciembre de 2023

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos para Agentes de Amazon Bedrock

Roles de servicio