Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accordez à IAM les autorisations nécessaires pour demander l'accès aux modèles de la fondation Amazon Bedrock
L'accès aux modèles de base sans serveur Amazon Bedrock est contrôlé par les actions IAM suivantes :
| Action IAM | Description | S'applique à quels modèles |
|---|---|---|
| socle rocheux : PutFoundationModelEntitlement | Permet à une identité IAM de demander l'accès aux modèles de base sans serveur Amazon Bedrock. | Tous les modèles sans serveur Amazon Bedrock |
| AWS-Marketplace : Abonnez-vous |
Permet à une entité IAM de s'abonner à AWS Marketplace des produits, notamment aux modèles de fondation Amazon Bedrock. |
Uniquement les modèles sans serveur Amazon Bedrock dotés d'un identifiant de produit. AWS Marketplace |
| AWS-Marketplace : se désabonner | Permet à une identité IAM de se désabonner de AWS Marketplace produits, y compris les modèles Amazon Bedrock Foundation. | Uniquement les modèles sans serveur Amazon Bedrock dotés d'un identifiant de produit. AWS Marketplace |
| AWS Marketplace : ViewSubscriptions | Permet à une identité IAM de renvoyer une liste de AWS Marketplace produits, y compris les modèles de fondation Amazon Bedrock. | Uniquement les modèles sans serveur Amazon Bedrock dotés d'un identifiant de produit. AWS Marketplace |
Note
Pour l'aws-marketplace:Subscribeaction uniquement, vous pouvez utiliser la clé de aws-marketplace:ProductId condition pour restreindre l'abonnement à des modèles spécifiques.
Pour qu'une identité IAM demande l'accès aux modèles
L'identité doit être associée à une politique autorisant les actions suivantes :
-
bedrock:PutFoundationModelEntitlement -
aws-marketplace:Subscribe(uniquement si le modèle possède un identifiant de produit)Note
Si une identité est déjà abonnée à un modèle dans une AWS région, le modèle devient disponible pour que l'identité demande l'accès dans toutes les AWS régions dans lesquelles le modèle est disponible, même s'il
aws-marketplace:Subscribeest refusé pour les autres régions.Pour empêcher l'abonnement à tous les modèles dans des régions spécifiques, utilisez cette
bedrock:PutFoundationModelEntitlementaction. Pour obtenir un exemple, consultez Empêcher une identité de demander l'accès à des modèles dans des régions spécifiques.
Sélectionnez une section pour voir des exemples de politique IAM pour un cas d'utilisation spécifique :
Rubriques
Autoriser une identité à demander l'accès à un modèle spécifique
Empêcher une identité de demander l'accès à un modèle avec un identifiant de produit
Empêcher une identité de demander l'accès à des modèles dans des régions spécifiques
Empêcher une identité d'utiliser un modèle une fois que l'accès a déjà été accordé
Autoriser une identité à demander l'accès à un modèle spécifique
Pour qu'une entité IAM puisse demander l'accès à un modèle, elle doit disposer au minimum des autorisations suivantes :
-
bedrock:PutFoundationModelEntitlement— LeResourcechamp doit être*. -
(Si le modèle possède un identifiant de produit)
aws-marketplace:Subscribe— LeResourcechamp doit être*. Vous pouvez utiliser la clé deaws-marketplace:ProductIdcondition pour définir l'abonnement à des modèles spécifiques.
Note
Une fois qu'une identité IAM a déjà demandé l'accès à un modèle dans une AWS région, elle n'a besoin que d'autorisations bedrock:PutFoundationModelEntitlement pour demander l'accès au modèle dans d'autres régions. L'aws-marketplace:Subscribeaction n'est plus nécessaire.
Par exemple, vous pouvez associer la politique suivante à une identité pour lui permettre de s'abonner au Anthropic Claude 3.5 Sonnet modèle pour la première fois :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:Subscribe" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws-marketplace:ProductId": [ "prod-m5ilt4siql27k" ] } } }, { "Effect": "Allow", "Action": [ "bedrock:PutFoundationModelEntitlement" ], "Resource": "*" } ] }
Note
Cette politique est évolutive, car vous pouvez ajouter progressivement l'accès aux modèles à l'aide de la clé de condition d'identification du produit si nécessaire.
Pour les modèles qui n'ont pas d'identifiant de produitAmazon Nova Micro, par exemple, ou si le modèle a déjà été souscrit dans une région, une politique comportant uniquement la déclaration suivante suffit :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:PutFoundationModelEntitlement" ], "Resource": "*" } ] }
Empêcher une identité de demander l'accès à un modèle avec un identifiant de produit
Pour empêcher une entité IAM de demander l'accès à un modèle spécifique doté d'un identifiant de produit, associez à l'utilisateur une politique IAM qui refuse l'aws-marketplace:Subscribeaction et étendez le Condition champ à l'ID de produit du modèle.
Par exemple, vous pouvez associer la politique suivante à une identité pour l'empêcher de souscrire au Anthropic Claude 3.5 Sonnet modèle :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-marketplace:Subscribe" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws-marketplace:ProductId": [ "prod-m5ilt4siql27k" ] } } } ] }
Note
Avec cette politique, l'entité IAM aura accès par défaut à tous les modèles nouvellement ajoutés.
Si l'identité est déjà abonnée au modèle dans au moins une région, cette politique n'empêche pas l'accès dans les autres régions. Vous pouvez plutôt essayer l'un des exemples suivants :
-
Pour empêcher complètement l'abonnement à des modèles dans d'autres régions, consultez l'exemple de la section Empêcher une identité de demander l'accès à des modèles dans des régions spécifiques.
-
Pour empêcher l'utilisation d'un modèle, consultez l'exemple de la section Empêcher une identité d'utiliser un modèle une fois que l'accès a déjà été accordé.
Empêcher une identité de demander l'accès à des modèles dans des régions spécifiques
Si une identité IAM a déjà demandé l'accès à un modèle dans une région, vous pouvez contrôler l'accès à un modèle d'abonnement dans d'autres régions en incluant l'bedrock:PutFoundationModelEntitlementaction dans une déclaration et en utilisant la clé de aws:RequestedRegion condition globale.
Par exemple, vous pouvez associer la politique suivante à une identité IAM pour lui permettre uniquement de demander l'accès aux modèles des régions des États-Unis :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:PutFoundationModelEntitlement" ], "Resource": "*", "Condition": { "StringLike": { "aws:RequestedRegion": "us-*" } } } ] }
Note
bedrock:PutFoundationModelEntitlementne s'applique pas à des modèles spécifiques. Vous ne pouvez donc pas contrôler l'accès d'une identité à des modèles spécifiques s'ils n'ont pas d'identifiant de produit ou si l'identité a déjà accès au modèle dans une autre région. Vous pouvez plutôt contrôler l'utilisation du modèle en suivant l'exemple décrit dans Empêcher une identité d'utiliser un modèle une fois que l'accès a déjà été accordé.
Empêcher une identité d'utiliser un modèle une fois que l'accès a déjà été accordé
Si une identité IAM a déjà obtenu l'accès à un modèle, vous pouvez empêcher l'utilisation du modèle en refusant toutes les actions Amazon Bedrock et en limitant le Resource champ à l'ARN du modèle de base.
Par exemple, vous pouvez associer la politique suivante à une identité pour l'empêcher d'utiliser le Anthropic Claude 3.5 Sonnet modèle dans toutes les AWS régions :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "bedrock:*" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0" ] } ] }
