AWSpolíticas gestionadas para Amazon Bedrock - Amazon Bedrock
AmazonBedrockFullAccessAmazonBedrockReadOnlyAmazonBedrockLimitedAccessAmazonBedrockMarketplaceAccessAmazonBedrockMantleFullAccessAmazonBedrockMantleReadOnlyAmazonBedrockMantleInferenceAccessActualizaciones de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSpolíticas gestionadas para Amazon Bedrock

Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas tú mismo. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS.

Para obtener una lista de las políticas AWS administradas, consulte las políticas AWS administradas en la referencia de políticas AWS administradas. Para obtener más información sobre las políticas AWS administradas, consulte las políticas AWS administradas en la Guía del usuario de IAM.

AWSlos servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWScuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.

Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política ReadOnlyAccessAWSgestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

AWSpolítica gestionada: AmazonBedrockFullAccess

Puede adjuntar la AmazonBedrockFullAccesspolítica a sus identidades de IAM para conceder permisos administrativos que permitan al usuario crear, leer, actualizar y eliminar recursos de Amazon Bedrock.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • ec2(Amazon Elastic Compute Cloud): permite permisos para describir VPCs subredes y grupos de seguridad.

  • iam(AWSIdentity and Access Management): permite a los directores transferir funciones, pero solo permite transferir las funciones de IAM que contengan «Amazon Bedrock» al servicio Amazon Bedrock. Los permisos están restringidos a bedrock.amazonaws.com para las operaciones de Amazon Bedrock.

  • kms(Servicio de administración de AWS claves): permite a los directores describir las claves y los alias. AWS KMS

  • bedrock (Amazon Bedrock): concede a las entidades principales acceso de lectura y escritura a todas las acciones del plano de control y el servicio de tiempo de ejecución de Amazon Bedrock.

  • sagemaker(Amazon SageMaker AI): permite a los directores acceder a los recursos de Amazon SageMaker AI de la cuenta del cliente, lo que sirve de base para la función Amazon Bedrock Marketplace.

JSON
{
     "Version":"2012-10-17",		 	 	 		 	 	 
     "Statement": [
         {
             "Sid": "BedrockAll",
             "Effect": "Allow",
             "Action": [
                 "bedrock:*"
             ],
             "Resource": "*"
         },
         {
             "Sid": "DescribeKey",
             "Effect": "Allow",
             "Action": [
                 "kms:DescribeKey"
             ],
             "Resource": "arn:*:kms:*:::*"
         },
         {
             "Sid": "APIsWithAllResourceAccess",
             "Effect": "Allow",
             "Action": [
                 "iam:ListRoles",
                 "ec2:DescribeVpcs",
                 "ec2:DescribeSubnets",
                 "ec2:DescribeSecurityGroups"
             ],
             "Resource": "*"
         },
         {
             "Sid": "MarketplaceModelEndpointMutatingAPIs",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:CreateEndpoint",
                 "sagemaker:CreateEndpointConfig",
                 "sagemaker:CreateModel",
                 "sagemaker:DeleteEndpoint",
                 "sagemaker:UpdateEndpoint"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com",
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointAddTagsOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:AddTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "ForAllValues:StringEquals": {
                     "aws:TagKeys": [
                         "sagemaker-sdk:bedrock",
                         "bedrock:marketplace-registration-status",
                         "sagemaker-studio:hub-content-arn"
                     ]
                 },
                 "StringLike": {
                     "aws:RequestTag/sagemaker-sdk:bedrock": "compatible",
                     "aws:RequestTag/bedrock:marketplace-registration-status": "registered",
                     "aws:RequestTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointDeleteTagsOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DeleteTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "ForAllValues:StringEquals": {
                     "aws:TagKeys": [
                         "sagemaker-sdk:bedrock",
                         "bedrock:marketplace-registration-status",
                         "sagemaker-studio:hub-content-arn"
                     ]
                 },
                 "StringLike": {
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible",
                     "aws:ResourceTag/bedrock:marketplace-registration-status": "registered",
                     "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointNonMutatingAPIs",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DescribeEndpoint",
                 "sagemaker:DescribeEndpointConfig",
                 "sagemaker:DescribeModel",
                 "sagemaker:DescribeInferenceComponent",
                 "sagemaker:ListEndpoints",
                 "sagemaker:ListTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointInvokingOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:InvokeEndpoint",
                 "sagemaker:InvokeEndpointWithResponseStream"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com",
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
                 }
             }
         },
         {
             "Sid": "DiscoveringMarketplaceModel",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DescribeHubContent"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*",
                 "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
             ]
         },
         {
             "Sid": "AllowMarketplaceModelsListing",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:ListHubContents"
             ],
             "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
         },
         {
             "Sid": "PassRoleToSageMaker",
             "Effect": "Allow",
             "Action": [
                 "iam:PassRole"
             ],
             "Resource": [
                 "arn:aws:iam::*:role/*SageMaker*ForBedrock*"
             ],
             "Condition": {
                 "StringEquals": {
                     "iam:PassedToService": [
                         "sagemaker.amazonaws.com",
                         "bedrock.amazonaws.com"
                     ]
                 }
             }
         },
         {
             "Sid": "PassRoleToBedrock",
             "Effect": "Allow",
             "Action": [
                 "iam:PassRole"
             ],
             "Resource": "arn:aws:iam::*:role/*AmazonBedrock*",
             "Condition": {
                 "StringEquals": {
                     "iam:PassedToService": [
                         "bedrock.amazonaws.com"
                     ]
                 }
             }
         },
         {
             "Sid": "MarketplaceOperationsFromBedrockFor3pModels",
             "Effect": "Allow",
             "Action": [
                 "aws-marketplace:Subscribe",
                 "aws-marketplace:ViewSubscriptions",
                 "aws-marketplace:Unsubscribe"
             ],
             "Resource": "*",
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com"
                 }
             }
         }
     ]
 }

AWSpolítica gestionada: AmazonBedrockReadOnly

Puede adjuntar la AmazonBedrockReadOnlypolítica a sus identidades de IAM para conceder permisos de solo lectura para ver todos los recursos de Amazon Bedrock.

AWSpolítica gestionada: AmazonBedrockLimitedAccess

Puede adjuntar la AmazonBedrockLimitedAccesspolítica a sus identidades de IAM para permitirle acceder a los servicios de Amazon Bedrock, la administración de AWS KMS claves, los recursos de red y las suscripciones a AWS Marketplace para modelos básicos de terceros. Esta política incluye las siguientes instrucciones:

  • La instrucción BedrockAPIs le permite realizar varias operaciones en Amazon Bedrock, entre las que se incluyen:

    • Pasar la clave de API de Amazon Bedrock al realizar solicitudes de API al servicio Amazon Bedrock

    • Describir información acerca de los recursos

    • Crear recursos (barreras de protección, modelos, trabajos)

    • Crear y refinar políticas de razonamiento automatizado (crear, desarrollar, refinar y probar políticas)

    • Eliminar recursos

    • Invocar modelos en todos los recursos

  • La instrucción DescribeKey le permite ver información sobre las claves de KMS en todas las regiones y cuentas, siempre que las políticas de claves lo permitan.

  • La instrucción APIsWithAllResourceAccess le permite:

    • Enumerar los roles de IAM.

    • Describa los recursos de Amazon VPC (VPCssubredes y grupos de seguridad) en todos los recursos.

  • La instrucción MarketplaceOperationsFromBedrockFor3pModels le permite:

    • Suscríbase a las ofertas. AWS Marketplace

    • Consultar suscripciones

    • Darse de baja de AWS Marketplace las ofertas.

    nota

    La clave de condición aws:CalledViaLast restringe estas acciones a solo cuando se invocan a través del servicio Amazon Bedrock.

AWSpolítica gestionada: AmazonBedrockMarketplaceAccess

Puede adjuntar la AmazonBedrockMarketplaceAccesspolítica a sus identidades de IAM para que pueda gestionar y utilizar los puntos finales del modelo de mercado de Amazon Bedrock con SageMaker integración de IA. Esta política incluye las siguientes instrucciones:

  • La instrucción BedrockMarketplaceAPIs le permite crear, eliminar, registrar, anular el registro y actualizar los puntos de conexión del modelo del Marketplace en Amazon Bedrock en todos los recursos.

  • La MarketplaceModelEndpointMutatingAPIs declaración le permite crear y administrar puntos de enlace de SageMaker IA, configuraciones de puntos finales y modelos en recursos específicos.

    • Utilice la clave de condición aws:CalledViaLast para asegurarse de que estas acciones solo se realicen cuando se invoquen a través de Bedrock.

    • Use la clave de condición aws:ResourceTag/sagemaker-sdk:bedrock para asegurarse de que estas acciones solo se realicen en recursos etiquetados como compatibles con Amazon Bedrock.

  • La MarketplaceModelEndpointAddTagsOperations declaración permite añadir etiquetas específicas a los puntos finales, las configuraciones de los puntos finales y los modelos de la SageMaker IA en recursos específicos.

    • Utilice la clave de condición aws:TagKeys para restringir las etiquetas que se pueden añadir.

    • Utilice la clave de condición aws:RequestTag/* para asegurarse de que los valores de las etiquetas coincidan con los patrones especificados.

  • La MarketplaceModelEndpointDeleteTagsOperations declaración permite eliminar etiquetas específicas de los puntos finales, las configuraciones de los puntos finales y los modelos de la SageMaker IA en recursos específicos.

    • Utilice la clave de condición aws:TagKeys para restringir las etiquetas que se pueden eliminar.

    • Utilice la clave de condición aws:ResourceTag/* para asegurarse de que las etiquetas eliminadas coincidan con los patrones especificados.

  • La MarketplaceModelEndpointNonMutatingAPIs declaración permite ver y describir los puntos finales, las configuraciones de los puntos finales y los modelos de la SageMaker IA en recursos específicos.

    • Utilice la clave de condición aws:CalledViaLast para asegurarse de que estas acciones solo se realicen cuando se invoquen a través del servicio Amazon Bedrock.

  • La MarketplaceModelEndpointInvokingOperations declaración permite invocar puntos finales de SageMaker IA en recursos específicos.

    • Utilice la clave de condición aws:CalledViaLast para asegurarse de que estas acciones solo se realicen a través del servicio Amazon Bedrock.

    • Use la clave de condición aws:ResourceTag/sagemaker-sdk:bedrock para asegurarse de que estas acciones solo se realicen en recursos compatibles con Amazon Bedrock.

  • La DiscoveringMarketplaceModel declaración permite describir el contenido del centro de SageMaker IA en recursos específicos.

  • La AllowMarketplaceModelsListing declaración permite enumerar el contenido de SageMaker AI Hub en recursos específicos.

  • La PassRoleToSageMaker declaración permite transferir funciones de IAM a SageMaker AI y Amazon Bedrock en recursos específicos.

    • Utilice la clave de condición iam:PassedToService para garantizar que los roles solo se pasen a servicios específicos.

  • La instrucción PassRoleToBedrock le permite pasar roles de IAM específicos a Amazon Bedrock en recursos específicos.

    • Utilice la clave de condición iam:PassedToService para asegurarse de que estos roles solo se pasen al servicio Amazon Bedrock.

AWSpolítica gestionada: AmazonBedrockMantleFullAccess

Puede adjuntar la AmazonBedrockMantleFullAccesspolítica a sus identidades de IAM para conceder acceso total a todas las operaciones de Amazon Bedrock Mantle.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • bedrock-mantle(Amazon Bedrock Mantle): permite a los directores tener acceso total a todas las acciones del servicio Amazon Bedrock Mantle.

AWSpolítica gestionada: AmazonBedrockMantleReadOnly

Puede adjuntar la AmazonBedrockMantleReadOnlypolítica a sus identidades de IAM para conceder permisos de solo lectura para ver los recursos de Amazon Bedrock Mantle y realizar llamadas con un token de portador.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • bedrock-mantle(Amazon Bedrock Mantle): permite a los directores obtener y enumerar los recursos del proyecto Amazon Bedrock Mantle y llamar con un token de portador para autenticarse.

AWSpolítica gestionada: AmazonBedrockMantleInferenceAccess

Puede adjuntar la AmazonBedrockMantleInferenceAccesspolítica a sus identidades de IAM para conceder permisos para ejecutar inferencias en los modelos de Amazon Bedrock Mantle.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • bedrock-mantle(Amazon Bedrock Mantle): permite a los directores obtener y enumerar los recursos del proyecto Amazon Bedrock Mantle, crear solicitudes de inferencia y llamar con un token de portador para autenticarse.

Amazon Bedrock actualiza las políticas AWS gestionadas

Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon Bedrock desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en Historial de documentación para la guía de usuario de Amazon Bedrock.

Cambio Descripción Fecha

AmazonBedrockMantleFullAccess: política nueva

Amazon Bedrock agregó una nueva política para otorgar acceso total a todas las operaciones de Amazon Bedrock Mantle.

 3 de diciembre de 2025

AmazonBedrockMantleReadOnly: política nueva

Amazon Bedrock agregó una nueva política para conceder acceso de solo lectura a los recursos de Amazon Bedrock Mantle.

 3 de diciembre de 2025

AmazonBedrockMantleInferenceAccess: política nueva

Amazon Bedrock agregó una nueva política para conceder acceso a la inferencia a los modelos Amazon Bedrock Mantle.

 3 de diciembre de 2025

AmazonBedrockFullAccess: política actualizada

Amazon Bedrock actualizó la política AmazonBedrockFullAccess administrada para permitir el acceso a todos los modelos básicos sin servidor de forma predeterminada.

 14 de julio de 2025

AmazonBedrockMarketplaceAccess: política nueva

Amazon Bedrock agregó una nueva política para conceder a los clientes permisos para acceder a los modelos básicos de Amazon Bedrock Marketplace a través de un punto final de SageMaker IA.

 13 de junio de 2025

AmazonBedrockLimitedAccess: política nueva

Amazon Bedrock agregó una nueva política para conceder a los clientes permisos básicos para acceder a las acciones principales de Amazon Bedrock.

 13 de junio de 2025

AmazonBedrockFullAccess: política actualizada

Amazon Bedrock actualizó la política AmazonBedrockFullAccess gestionada para conceder a los clientes los permisos necesarios para crear, leer, actualizar y eliminar los recursos de Amazon Bedrock Marketplace. Esto incluye permisos para gestionar los recursos de Amazon SageMaker AI subyacentes, ya que sirven de base para la funcionalidad de Amazon Bedrock Marketplace.

 4 de diciembre de 2024

AmazonBedrockReadOnly: política actualizada

Amazon Bedrock actualizó la política AmazonBedrockReadOnly gestionada para conceder a los clientes los permisos necesarios para leer los recursos de Amazon Bedrock Marketplace. Esto incluye permisos para gestionar los recursos de Amazon SageMaker AI subyacentes, ya que sirven de base para la funcionalidad de Amazon Bedrock Marketplace.

 4 de diciembre de 2024

AmazonBedrockReadOnly: política actualizada

Amazon Bedrock actualizó la AmazonBedrockReadOnly política para incluir permisos de solo lectura para la importación de modelos personalizados.

 18 de octubre de 2024

AmazonBedrockReadOnly: política actualizada

Amazon Bedrock ha añadido permisos de solo lectura del perfil de inferencia.

 27 de agosto de 2024

AmazonBedrockReadOnly: política actualizada

Amazon Bedrock actualizó la AmazonBedrockReadOnly política para incluir permisos de solo lectura para Amazon Bedrock Guardrails, la evaluación del modelo Amazon Bedrock y la inferencia por lotes de Amazon Bedrock.

 21 de agosto de 2024

AmazonBedrockReadOnly: política actualizada

Amazon Bedrock ha agregado permisos de solo lectura para inferencia por lotes (trabajo de invocación del modelo).

 21 de agosto de 2024

AmazonBedrockReadOnly: política actualizada

Amazon Bedrock actualizó la AmazonBedrockReadOnly política para incluir permisos de solo lectura para la importación de modelos personalizados de Amazon Bedrock.

 3 de septiembre de 2024

AmazonBedrockFullAccess: política nueva

Amazon Bedrock agregó una nueva política para otorgar a los usuarios permisos para crear, leer, actualizar y eliminar recursos.

 12 de diciembre de 2023

AmazonBedrockReadOnly: política nueva

Amazon Bedrock ha agregado una nueva política para conceder a los usuarios permisos de solo lectura para realizar todas las acciones.

 12 de diciembre de 2023

Amazon Bedrock comenzó a hacer un seguimiento de los cambios

Amazon Bedrock comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas.

 12 de diciembre de 2023