AWS políticas gestionadas para Amazon Bedrock - Amazon Bedrock
AmazonBedrockFullAccessAmazonBedrockReadOnlyActualizaciones de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS políticas gestionadas para Amazon Bedrock

Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas tú mismo. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas AWS administradas, consulte las políticas AWS administradas en la Guía del usuario de IAM.

AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política gestionada por AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.

Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política ReadOnlyAccess AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

AWS política gestionada: AmazonBedrockFullAccess

Puede adjuntar la política AmazonBedrockFullAccess a las identidades de IAM.

Esta política otorga permisos administrativos que permiten al usuario crear, leer, actualizar y eliminar recursos de Amazon Bedrock.

nota

Los microajustes y el acceso a los modelos requieren permisos adicionales. Para obtener más información, consulte Permisos de acceso a las suscripciones de modelos de terceros y Permisos para acceder a los archivos de entrenamiento y validación y escribir los archivos de salida en S3.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • ec2(Amazon Elastic Compute Cloud): permite permisos para describir VPCs, subredes y grupos de seguridad.

  • iam(AWS Identity and Access Management): permite a los directores transferir funciones, pero solo permite transferir las funciones de IAM que contengan «Amazon Bedrock» al servicio Amazon Bedrock. Los permisos están restringidos a bedrock.amazonaws.com para las operaciones de Amazon Bedrock.

  • kms(Servicio de administración de AWS claves): permite a los directores describir las claves y los alias. AWS KMS

  • bedrock (Amazon Bedrock): concede a las entidades principales acceso de lectura y escritura a todas las acciones del plano de control y el servicio de tiempo de ejecución de Amazon Bedrock.

  • sagemaker(Amazon SageMaker AI): permite a los directores acceder a los recursos de Amazon SageMaker AI de la cuenta del cliente, lo que sirve de base para la función Amazon Bedrock Marketplace. 

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "BedrockAll",
			"Effect": "Allow",
			"Action": [
				"bedrock:*"
			],
			"Resource": "*"
		},
		{
			"Sid": "DescribeKey",
			"Effect": "Allow",
			"Action": [
				"kms:DescribeKey"
			],
			"Resource": "arn:*:kms:*:::*"
		},
		{
			"Sid": "APIsWithAllResourceAccess",
			"Effect": "Allow",
			"Action": [
				"iam:ListRoles",
				"ec2:DescribeVpcs",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Resource": "*"
		},
		{
			"Sid": "MarketplaceModelEndpointMutatingAPIs",
			"Effect": "Allow",
			"Action": [
				"sagemaker:CreateEndpoint",
				"sagemaker:CreateEndpointConfig",
				"sagemaker:CreateModel",
				"sagemaker:DeleteEndpoint",
				"sagemaker:UpdateEndpoint"
			],
			"Resource": [
				"arn:aws:sagemaker:*:*:endpoint/*",
				"arn:aws:sagemaker:*:*:endpoint-config/*",
				"arn:aws:sagemaker:*:*:model/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:CalledViaLast": "bedrock.amazonaws.com",
					"aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
				}
			}
		},
		{
			"Sid": "MarketplaceModelEndpointAddTagsOperations",
			"Effect": "Allow",
			"Action": [
				"sagemaker:AddTags"
			],
			"Resource": [
				"arn:aws:sagemaker:*:*:endpoint/*",
				"arn:aws:sagemaker:*:*:endpoint-config/*",
				"arn:aws:sagemaker:*:*:model/*"
			],
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"sagemaker-sdk:bedrock",
						"bedrock:marketplace-registration-status",
						"sagemaker-studio:hub-content-arn"
					]
				},
				"StringLike": {
					"aws:RequestTag/sagemaker-sdk:bedrock": "compatible",
					"aws:RequestTag/bedrock:marketplace-registration-status": "registered",
					"aws:RequestTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
				}
			}
		},
		{
			"Sid": "MarketplaceModelEndpointDeleteTagsOperations",
			"Effect": "Allow",
			"Action": [
				"sagemaker:DeleteTags"
			],
			"Resource": [
				"arn:aws:sagemaker:*:*:endpoint/*",
				"arn:aws:sagemaker:*:*:endpoint-config/*",
				"arn:aws:sagemaker:*:*:model/*"
			],
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"sagemaker-sdk:bedrock",
						"bedrock:marketplace-registration-status",
						"sagemaker-studio:hub-content-arn"
					]
				},
				"StringLike": {
					"aws:ResourceTag/sagemaker-sdk:bedrock": "compatible",
					"aws:ResourceTag/bedrock:marketplace-registration-status": "registered",
					"aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
				}
			}
		},
		{
			"Sid": "MarketplaceModelEndpointNonMutatingAPIs",
			"Effect": "Allow",
			"Action": [
				"sagemaker:DescribeEndpoint",
				"sagemaker:DescribeEndpointConfig",
				"sagemaker:DescribeModel",
				"sagemaker:ListTags"
			],
			"Resource": [
				"arn:aws:sagemaker:*:*:endpoint/*",
				"arn:aws:sagemaker:*:*:endpoint-config/*",
				"arn:aws:sagemaker:*:*:model/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:CalledViaLast": "bedrock.amazonaws.com"
				}
			}
		},
		{
			"Sid": "MarketplaceModelEndpointInvokingOperations",
			"Effect": "Allow",
			"Action": [
				"sagemaker:InvokeEndpoint",
				"sagemaker:InvokeEndpointWithResponseStream"
			],
			"Resource": [
				"arn:aws:sagemaker:*:*:endpoint/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:CalledViaLast": "bedrock.amazonaws.com",
					"aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
				}
			}
		},
		{
			"Sid": "DiscoveringMarketplaceModel",
			"Effect": "Allow",
			"Action": [
				"sagemaker:DescribeHubContent"
			],
			"Resource": [
				"arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*",
				"arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
			]
		},
		{
			"Sid": "AllowMarketplaceModelsListing",
			"Effect": "Allow",
			"Action": [
				"sagemaker:ListHubContents"
			],
			"Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
		},
		{
			"Sid": "PassRoleToSageMaker",
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/*SageMaker*ForBedrock*"
			],
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": [
						"sagemaker.amazonaws.com",
						"bedrock.amazonaws.com"
					]
				}
			}
		},
		{
			"Sid": "PassRoleToBedrock",
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": "arn:aws:iam::*:role/*AmazonBedrock*",
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": [
						"bedrock.amazonaws.com"
					]
				}
			}
		}
	]
}

AWS política gestionada: AmazonBedrockReadOnly

Puede adjuntar la política AmazonBedrockReadOnly a las identidades de IAM.

Esta política otorga permisos de solo lectura que permiten a los usuarios ver todos los recursos en Amazon Bedrock.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonBedrockReadOnly",
            "Effect": "Allow",
            "Action": [
                "bedrock:Get*",
                "bedrock:List*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "MarketplaceModelEndpointNonMutatingAPIs",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeEndpoint",
                "sagemaker:DescribeEndpointConfig",
                "sagemaker:DescribeModel",
                "sagemaker:DescribeInferenceComponent",
                "sagemaker:ListEndpoints",
                "sagemaker:ListTags"
            ],
            "Resource": [
                "arn:aws:sagemaker:*:*:endpoint/*",
                "arn:aws:sagemaker:*:*:endpoint-config/*",
                "arn:aws:sagemaker:*:*:model/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "bedrock.amazonaws.com"
                }
            }
        },
        {
            "Sid": "DiscoveringMarketplaceModel",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeHubContent"
            ],
            "Resource": [
                "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*",
                "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
            ]
        },
        {
            "Sid": "AllowMarketplaceModelsListing",
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListHubContents"
            ],
            "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
        }
    ]
}

Amazon Bedrock actualiza las políticas AWS gestionadas

Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon Bedrock desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en Historial de documentación para la guía de usuario de Amazon Bedrock.

Cambio Descripción Fecha

AmazonBedrockFullAccess: política actualizada

Amazon Bedrock actualizó la política AmazonBedrockFullAccess gestionada para conceder a los clientes los permisos necesarios para crear, leer, actualizar y eliminar los recursos de Amazon Bedrock Marketplace. Esto incluye permisos para administrar los recursos de Amazon SageMaker AI subyacentes, ya que sirven de base para la funcionalidad de Amazon Bedrock Marketplace.

 4 de diciembre de 2024

AmazonBedrockReadOnly: política actualizada

Amazon Bedrock actualizó la política AmazonBedrockReadOnly gestionada para conceder a los clientes los permisos necesarios para leer los recursos de Amazon Bedrock Marketplace. Esto incluye permisos para administrar los recursos de Amazon SageMaker AI subyacentes, ya que sirven de base para la funcionalidad de Amazon Bedrock Marketplace.

 4 de diciembre de 2024

AmazonBedrockReadOnly: política actualizada

Amazon Bedrock actualizó la AmazonBedrockReadOnly política para incluir permisos de solo lectura para la importación de modelos personalizados.

 18 de octubre de 2024

AmazonBedrockReadOnly: política actualizada

Amazon Bedrock ha añadido permisos de solo lectura del perfil de inferencia.

 27 de agosto de 2024

AmazonBedrockReadOnly: política actualizada

Amazon Bedrock actualizó la AmazonBedrockReadOnly política para incluir permisos de solo lectura para Amazon Bedrock Guardrails, la evaluación del modelo Amazon Bedrock y la inferencia por lotes de Amazon Bedrock.

 21 de agosto de 2024

AmazonBedrockReadOnly: política actualizada

Amazon Bedrock ha agregado permisos de solo lectura para inferencia por lotes (trabajo de invocación del modelo).

 21 de agosto de 2024

AmazonBedrockReadOnly: política actualizada

Amazon Bedrock actualizó la AmazonBedrockReadOnly política para incluir permisos de solo lectura para la importación de modelos personalizados de Amazon Bedrock.

 3 de septiembre de 2024

AmazonBedrockFullAccess: política nueva

Amazon Bedrock agregó una nueva política para otorgar a los usuarios permisos para crear, leer, actualizar y eliminar recursos.

 12 de diciembre de 2023

AmazonBedrockReadOnly: política nueva

Amazon Bedrock ha agregado una nueva política para conceder a los usuarios permisos de solo lectura para realizar todas las acciones.

 12 de diciembre de 2023

Amazon Bedrock comenzó a hacer un seguimiento de los cambios

Amazon Bedrock comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas.

 12 de diciembre de 2023