AWS politiques gérées pour Amazon Bedrock - Amazon Bedrock
AmazonBedrockFullAccessAmazonBedrockReadOnlyAmazonBedrockLimitedAccessAmazonBedrockMarketplaceAccessMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour Amazon Bedrock

Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l’expertise pour créer des politiques gérées par le client IAM qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent des cas d’utilisation courants et sont disponibles dans votre Compte AWS.

Pour obtenir la liste des politiques AWS gérées, consultez la section stratégies AWS gérées dans la référence des politiques AWS gérées. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le guide de l'utilisateur IAM.

AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonctionnalité est lancée ou quand de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.

En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ReadOnlyAccess AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page politiques gérées par AWS pour les fonctions de tâche dans le Guide de l’utilisateur IAM.

AWS politique gérée : AmazonBedrockFullAccess

Vous pouvez associer cette AmazonBedrockFullAccesspolitique à vos identités IAM pour accorder des autorisations administratives permettant à l'utilisateur de créer, lire, mettre à jour et supprimer des ressources Amazon Bedrock.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • ec2(Amazon Elastic Compute Cloud) — Autorise les autorisations pour décrire VPCs les sous-réseaux et les groupes de sécurité.

  • iam(AWS Identity and Access Management) — Permet aux principaux de transmettre des rôles, mais autorise uniquement les rôles IAM contenant « Amazon Bedrock » à être transmis au service Amazon Bedrock. Les autorisations sont limitées à bedrock.amazonaws.com pour les opérations Amazon Bedrock.

  • kms(Service de gestion des AWS clés) — Permet aux principaux de décrire les AWS KMS clés et les alias.

  • bedrock (Amazon Bedrock) : permet aux principaux d’accéder en lecture et en écriture à toutes les actions du plan de contrôle et du service d’exécution Amazon Bedrock.

  • sagemaker(Amazon SageMaker AI) — Permet aux principaux d'accéder aux ressources Amazon SageMaker AI sur le compte du client, qui constituent la base de la fonctionnalité Amazon Bedrock Marketplace.

AWS politique gérée : AmazonBedrockReadOnly

Vous pouvez associer cette AmazonBedrockReadOnlypolitique à vos identités IAM pour accorder des autorisations en lecture seule permettant de consulter toutes les ressources dans Amazon Bedrock.

AWS politique gérée : AmazonBedrockLimitedAccess

Vous pouvez associer cette AmazonBedrockLimitedAccesspolitique à vos identités IAM pour lui permettre d'accéder aux services Amazon Bedrock, à la gestion des AWS KMS clés, aux ressources réseau et aux abonnements AWS Marketplace pour les modèles de fondations tiers. La politique inclut les déclarations suivantes :

  • L'BedrockAPIsinstruction vous permet d'effectuer plusieurs opérations dans Amazon Bedrock, notamment :

    • Transmission de la clé d'API Amazon Bedrock lorsque vous envoyez des demandes d'API au service Amazon Bedrock.

    • Décrire les informations relatives aux ressources.

    • Création de ressources (garde-corps, modèles, emplois).

    • Création et affinement de politiques de raisonnement automatisé (création, création, affinement et test de politiques).

    • Supprimer des ressources.

    • Invoquer des modèles sur toutes les ressources.

  • Le DescribeKey relevé vous permet de consulter les informations relatives aux clés KMS dans toutes les régions et tous les comptes, pour autant que les politiques relatives aux clés vous y autorisent.

  • La APIsWithAllResourceAccess déclaration vous permet de :

    • Répertorier les rôles IAM.

    • Décrivez les ressources Amazon VPC (VPCssous-réseaux et groupes de sécurité) sur l'ensemble des ressources.

  • La MarketplaceOperationsFromBedrockFor3pModels déclaration vous permet de :

    • Abonnez-vous aux AWS Marketplace offres.

    • Afficher les abonnements.

    • Désabonnez-vous des AWS Marketplace offres.

    Note

    La clé de condition aws:CalledViaLast limite ces actions uniquement lorsqu'elles sont appelées via le service Amazon Bedrock.

AWS politique gérée : AmazonBedrockMarketplaceAccess

Vous pouvez associer la AmazonBedrockMarketplaceAccesspolitique à vos identités IAM pour lui permettre de gérer et d'utiliser les points de terminaison du modèle Amazon Bedrock Marketplace avec SageMaker intégration de l'IA. La politique inclut les déclarations suivantes :

  • La BedrockMarketplaceAPIs déclaration vous permet de créer, de supprimer, d'enregistrer, de désenregistrer et de mettre à jour les points de terminaison du modèle Marketplace dans Amazon Bedrock sur toutes les ressources.

  • L'MarketplaceModelEndpointMutatingAPIsinstruction vous permet de créer et de gérer des points de terminaison d' SageMaker IA, des configurations de points de terminaison et des modèles sur des ressources spécifiées.

    • Utilisez la clé de aws:CalledViaLast condition pour vous assurer que ces actions ne sont effectuées que lorsqu'elles sont appelées via Bedrock.

    • Utilisez la clé de aws:ResourceTag/sagemaker-sdk:bedrock condition pour vous assurer que ces actions ne sont effectuées que sur les ressources étiquetées comme compatibles avec Amazon Bedrock.

  • L'MarketplaceModelEndpointAddTagsOperationsinstruction permet d'ajouter des balises spécifiques aux points de terminaison SageMaker AI, aux configurations de points de terminaison et aux modèles sur des ressources spécifiées.

    • Utilisez la clé de aws:TagKeys condition pour limiter les balises pouvant être ajoutées

    • Utilisez la clé de aws:RequestTag/* condition pour vous assurer que les valeurs des balises correspondent aux modèles spécifiés

  • L'MarketplaceModelEndpointDeleteTagsOperationsinstruction permet de supprimer des balises spécifiques des points de terminaison SageMaker IA, des configurations de points de terminaison et des modèles sur des ressources spécifiées.

    • Utilisez la clé de aws:TagKeys condition pour limiter les balises pouvant être supprimées

    • Utilisez la clé de aws:ResourceTag/* condition pour vous assurer que les balises supprimées correspondent aux modèles spécifiés

  • L'MarketplaceModelEndpointNonMutatingAPIsinstruction permet de visualiser et de décrire les points de terminaison SageMaker IA, les configurations de points de terminaison et les modèles sur des ressources spécifiées.

    • Utilisez la clé de aws:CalledViaLast condition pour vous assurer que les actions ne sont effectuées que via le service Amazon Bedrock

  • L'MarketplaceModelEndpointInvokingOperationsinstruction permet d'invoquer des points de terminaison SageMaker AI sur des ressources spécifiées.

    • Utilisez la clé de aws:CalledViaLast condition pour vous assurer que les actions ne sont effectuées que via le service Amazon Bedrock

    • Utilisez la clé de aws:ResourceTag/sagemaker-sdk:bedrock condition pour vous assurer que les actions ne sont effectuées que sur des ressources compatibles avec Bedrock

  • La DiscoveringMarketplaceModel déclaration permet de décrire le contenu du hub SageMaker AI sur des ressources spécifiées.

  • La AllowMarketplaceModelsListing déclaration permet de répertorier le contenu du hub SageMaker AI sur des ressources spécifiées.

  • La PassRoleToSageMaker déclaration permet de transmettre des rôles IAM à SageMaker AI et Amazon Bedrock sur des ressources spécifiées.

    • Utilisez la clé de iam:PassedToService condition pour vous assurer que les rôles ne sont transmis qu'aux services spécifiés.

  • La PassRoleToBedrock déclaration vous permet de transmettre des rôles IAM spécifiques à Amazon Bedrock sur des ressources spécifiques.

    • Utilisez la clé de iam:PassedToService condition pour vous assurer que les rôles ne sont transmis qu'au service Amazon Bedrock.

Amazon Bedrock met à jour ses politiques AWS gérées

Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon Bedrock depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS de la page Historique du guide de l’utilisateur Amazon Bedrock.

Modification Description Date

AmazonBedrockMarketplaceAccess : nouvelle politique

Amazon Bedrock a ajouté une nouvelle politique visant à accorder aux clients l'autorisation d'accéder aux modèles Amazon Bedrock Marketplace Foundation via un point de terminaison basé sur l' SageMaker IA.

 13 juin 2025

AmazonBedrockLimitedAccess : nouvelle politique

Amazon Bedrock a ajouté une nouvelle politique visant à accorder aux clients des autorisations de base pour accéder aux actions principales d'Amazon Bedrock.

 13 juin 2025

AmazonBedrockFullAccess— Politique mise à jour

Amazon Bedrock a mis à jour la politique de AmazonBedrockFullAccess gestion afin d'accorder aux clients les autorisations nécessaires pour créer, lire, mettre à jour et supprimer les ressources Amazon Bedrock Marketplace. Cela inclut les autorisations permettant de gérer les ressources Amazon SageMaker AI sous-jacentes, car elles constituent la base des fonctionnalités d'Amazon Bedrock Marketplace.

 4 décembre 2024

AmazonBedrockReadOnly— Politique mise à jour

Amazon Bedrock a mis à jour la politique de AmazonBedrockReadOnly gestion afin d'accorder aux clients les autorisations nécessaires pour lire les ressources Amazon Bedrock Marketplace. Cela inclut les autorisations permettant de gérer les ressources Amazon SageMaker AI sous-jacentes, car elles constituent la base des fonctionnalités d'Amazon Bedrock Marketplace.

 4 décembre 2024

AmazonBedrockReadOnly— Politique mise à jour

Amazon Bedrock a mis à jour la AmazonBedrockReadOnly politique afin d'inclure des autorisations en lecture seule pour l'importation de modèles personnalisés.

 18 octobre 2024

AmazonBedrockReadOnly— Politique mise à jour

Amazon Bedrock a ajouté des autorisations en lecture seule au profil d'inférence.

 27 août 2024

AmazonBedrockReadOnly— Politique mise à jour

Amazon Bedrock a mis à jour la AmazonBedrockReadOnly politique afin d'inclure des autorisations en lecture seule pour Amazon Bedrock Guardrails, l'évaluation du modèle Amazon Bedrock et l'inférence Amazon Bedrock Batch.

 21 août 2024

AmazonBedrockReadOnly— Politique mise à jour

Amazon Bedrock a ajouté des autorisations en lecture seule pour l'inférence par lots (tâche d'invocation de modèles).

 21 août 2024

AmazonBedrockReadOnly— Politique mise à jour

Amazon Bedrock a mis à jour la AmazonBedrockReadOnly politique afin d'inclure des autorisations en lecture seule pour l'importation de modèles personnalisés Amazon Bedrock.

 3 septembre 2024

AmazonBedrockFullAccess : nouvelle politique

Amazon Bedrock a ajouté une nouvelle politique pour autoriser les utilisateurs à créer, lire, mettre à jour et supprimer des ressources.

 12 décembre 2023

AmazonBedrockReadOnly : nouvelle politique

Amazon Bedrock a ajouté une nouvelle politique pour accorder aux utilisateurs des autorisations en lecture seule pour toutes les actions.

 12 décembre 2023

Amazon Bedrock a commencé à assurer le suivi des modifications

Amazon Bedrock a commencé à suivre les modifications apportées à ses politiques AWS gérées.

 12 décembre 2023