Berikan izin IAM untuk meminta akses ke model yayasan Amazon Bedrock - Amazon Bedrock
Izinkan identitas untuk meminta akses ke model tertentuMencegah identitas meminta akses ke model dengan ID produkMencegah identitas meminta akses ke model di Wilayah tertentuMencegah identitas menggunakan model setelah akses telah diberikan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berikan izin IAM untuk meminta akses ke model yayasan Amazon Bedrock

Akses ke model foundation tanpa server Amazon Bedrock dikendalikan oleh tindakan IAM berikut:

Tindakan IAM Deskripsi Berlaku untuk model mana
batuan dasar: PutFoundationModelEntitlement Memungkinkan identitas IAM untuk meminta akses ke model fondasi tanpa server Amazon Bedrock. Semua model tanpa server Amazon Bedrock
AWS-MarketPlace: Berlangganan

Memungkinkan entitas IAM untuk berlangganan AWS Marketplace produk, termasuk model yayasan Amazon Bedrock.

 Hanya model tanpa server Amazon Bedrock yang memiliki ID produk. AWS Marketplace
AWS-MarketPlace: berhenti berlangganan Memungkinkan identitas IAM untuk berhenti berlangganan dari AWS Marketplace produk, termasuk model yayasan Amazon Bedrock. Hanya model tanpa server Amazon Bedrock yang memiliki ID produk. AWS Marketplace
aws-pasar: ViewSubscriptions Memungkinkan identitas IAM mengembalikan daftar AWS Marketplace produk, termasuk model fondasi Amazon Bedrock. Hanya model tanpa server Amazon Bedrock yang memiliki ID produk. AWS Marketplace
catatan

Hanya untuk aws-marketplace:Subscribe tindakan, Anda dapat menggunakan tombol aws-marketplace:ProductId kondisi untuk membatasi langganan ke model tertentu.

Untuk identitas IAM untuk meminta akses ke model

Identitas harus memiliki kebijakan terlampir yang memungkinkan tindakan berikut:

  • bedrock:PutFoundationModelEntitlement

  • aws-marketplace:Subscribe(hanya jika model memiliki ID produk)

    catatan

    Jika identitas telah berlangganan model di satu AWS Wilayah, model menjadi tersedia untuk identitas untuk meminta akses di semua AWS Wilayah di mana model tersedia, bahkan jika aws-marketplace:Subscribe ditolak untuk Wilayah lain.

    Untuk mencegah berlangganan semua model di Wilayah tertentu, gunakan bedrock:PutFoundationModelEntitlement tindakan. Sebagai contoh, lihat Mencegah identitas meminta akses ke model di Wilayah tertentu.

Pilih bagian untuk melihat contoh kebijakan IAM untuk kasus penggunaan tertentu:

Izinkan identitas untuk meminta akses ke model tertentu

Agar entitas IAM meminta akses ke model, entitas IAM harus memiliki izin berikut:

  • bedrock:PutFoundationModelEntitlementResourceBidang harus*.

  • (Jika model memiliki ID produk) aws-marketplace:SubscribeResource Bidang harus*. Anda dapat menggunakan tombol aws-marketplace:ProductId kondisi untuk berlangganan cakupan model tertentu.

catatan

Setelah identitas IAM telah meminta akses ke model di satu AWS Wilayah, mereka hanya memerlukan izin untuk bedrock:PutFoundationModelEntitlement tindakan untuk meminta akses ke model di Wilayah lain. aws-marketplace:SubscribeTindakan itu tidak lagi diperlukan.

Misalnya, Anda dapat melampirkan kebijakan berikut ke identitas untuk mengizinkannya berlangganan Anthropic Claude 3.5 Sonnet model untuk pertama kalinya:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:PutFoundationModelEntitlement"
            ],
            "Resource": "*"
        }
    ]
}
catatan

Kebijakan ini dapat diskalakan, karena Anda dapat menambahkan akses ke model secara bertahap dengan kunci kondisi ID produk jika diperlukan.

Untuk model yang tidak memiliki ID produk, sepertiAmazon Nova Micro, atau jika model telah berlangganan di satu Wilayah, kebijakan dengan hanya pernyataan berikut sudah cukup:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:PutFoundationModelEntitlement"
            ],
            "Resource": "*"
        }
    ]
}

Mencegah identitas meminta akses ke model dengan ID produk

Untuk mencegah entitas IAM meminta akses ke model tertentu yang memiliki ID produk, lampirkan kebijakan IAM kepada pengguna yang menolak aws-marketplace:Subscribe tindakan dan cakupan Condition bidang ke ID produk model.

Misalnya, Anda dapat melampirkan kebijakan berikut ke identitas untuk mencegahnya berlangganan Anthropic Claude 3.5 Sonnet model:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        }
    ]
}
catatan

Dengan kebijakan ini, entitas IAM akan memiliki akses ke model yang baru ditambahkan secara default.

Jika identitas telah berlangganan model di setidaknya satu Wilayah, kebijakan ini tidak mencegah akses di Wilayah lain. Sebagai gantinya, Anda dapat mencoba salah satu contoh berikut:

  • Untuk sepenuhnya mencegah berlangganan model di Wilayah lain, lihat contoh di Mencegah identitas meminta akses ke model di Wilayah tertentu.

  • Untuk mencegah penggunaan model, lihat contoh di Mencegah identitas menggunakan model setelah akses diberikan.

Mencegah identitas meminta akses ke model di Wilayah tertentu

Jika identitas IAM telah meminta akses ke model di satu Wilayah, Anda dapat mengontrol akses ke langganan model di Wilayah lain dengan memasukkan bedrock:PutFoundationModelEntitlement tindakan dalam pernyataan dan menggunakan kunci aws:RequestedRegion kondisi global.

Misalnya, Anda dapat melampirkan kebijakan berikut ke identitas IAM untuk hanya mengizinkannya meminta akses ke model di Wilayah AS:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:PutFoundationModelEntitlement"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:RequestedRegion": "us-*"
                }
            }
        }
    ]
}
catatan

bedrock:PutFoundationModelEntitlementtidak mencakup model tertentu, jadi Anda tidak dapat mengontrol akses identitas ke model tertentu jika mereka tidak memiliki ID produk atau jika identitas sudah memiliki akses ke model di Wilayah lain. Sebagai gantinya, Anda dapat mengontrol penggunaan model dengan mengikuti contoh di Mencegah identitas menggunakan model setelah akses diberikan.

Mencegah identitas menggunakan model setelah akses telah diberikan

Jika identitas IAM telah diberikan akses ke model, Anda dapat mencegah penggunaan model dengan menolak semua tindakan Amazon Bedrock dan melingkupi bidang Resource ke ARN model pondasi.

Misalnya, Anda dapat melampirkan kebijakan berikut ke identitas untuk mencegahnya menggunakan Anthropic Claude 3.5 Sonnet model di semua AWS Wilayah:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
            ]
        }
    ]
}