AWS kebijakan terkelola untuk Amazon Bedrock - Amazon Bedrock
AmazonBedrockFullAccessAmazonBedrockReadOnlyAmazonBedrockLimitedAccessAmazonBedrockMarketplaceAccessPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk Amazon Bedrock

Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan yang dikelola pelanggan IAM yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di Akun AWS Anda.

Untuk daftar kebijakan AWS terkelola, lihat kebijakan AWS terkelola dalam referensi kebijakan AWS terkelola. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan Pengguna IAM.

AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat ada fitur baru yang diluncurkan atau saat ada operasi baru yang tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat kebijakan yang dikelola AWS untuk fungsi tugas di Panduan Pengguna IAM.

AWS kebijakan terkelola: AmazonBedrockFullAccess

Anda dapat melampirkan AmazonBedrockFullAccesskebijakan ke identitas IAM Anda untuk memberikan izin administratif yang memungkinkan izin pengguna untuk membuat, membaca, memperbarui, dan menghapus sumber daya Amazon Bedrock.

Detail izin

Kebijakan ini mencakup izin berikut:

  • ec2(Amazon Elastic Compute Cloud) — Memungkinkan izin untuk mendeskripsikan VPCs, subnet, dan grup keamanan.

  • iam(AWS Identity and Access Management) - Memungkinkan prinsipal untuk lulus peran, tetapi hanya mengizinkan peran IAM dengan “Amazon Bedrock” di dalamnya untuk diteruskan ke layanan Amazon Bedrock. Izin dibatasi bedrock.amazonaws.com untuk operasi Amazon Bedrock.

  • kms(Layanan Manajemen AWS Kunci) - Memungkinkan kepala sekolah untuk mendeskripsikan AWS KMS kunci dan alias.

  • bedrock(Amazon Bedrock) - Memungkinkan kepala sekolah membaca dan menulis akses ke semua tindakan di bidang kontrol Amazon Bedrock dan layanan runtime.

  • sagemaker(Amazon SageMaker AI) - Memungkinkan prinsipal untuk mengakses sumber daya SageMaker AI Amazon di akun pelanggan, yang berfungsi sebagai dasar untuk fitur Amazon Bedrock Marketplace.

AWS kebijakan terkelola: AmazonBedrockReadOnly

Anda dapat melampirkan AmazonBedrockReadOnlykebijakan ke identitas IAM Anda untuk memberikan izin hanya-baca untuk melihat semua sumber daya di Amazon Bedrock.

AWS kebijakan terkelola: AmazonBedrockLimitedAccess

Anda dapat melampirkan AmazonBedrockLimitedAccesskebijakan ke identitas IAM Anda untuk mengizinkannya mengakses layanan Amazon Bedrock, manajemen AWS KMS kunci, sumber daya jaringan, dan langganan AWS Marketplace untuk model yayasan pihak ketiga. Kebijakan tersebut mencakup pernyataan berikut:

  • BedrockAPIsPernyataan ini memungkinkan Anda untuk melakukan beberapa operasi di Amazon Bedrock termasuk:

    • Melewati kunci Amazon Bedrock API saat membuat permintaan API ke layanan Amazon Bedrock.

    • Menjelaskan informasi tentang sumber daya.

    • Membuat sumber daya (pagar pembatas, model, pekerjaan).

    • Membuat dan menyempurnakan kebijakan Penalaran Otomatis (membuat, membangun, menyempurnakan, dan menguji kebijakan).

    • Menghapus sumber daya.

    • Memanggil model pada semua sumber daya.

  • DescribeKeyPernyataan ini memungkinkan Anda untuk melihat informasi tentang kunci KMS di semua wilayah dan akun, selama kebijakan pada kunci mengizinkan Anda melakukannya.

  • APIsWithAllResourceAccessPernyataan ini memungkinkan Anda untuk:

    • Daftar peran IAM.

    • Jelaskan sumber daya Amazon VPC (VPCs, subnet, dan grup keamanan) di semua sumber daya.

  • MarketplaceOperationsFromBedrockFor3pModelsPernyataan ini memungkinkan Anda untuk:

    • Berlangganan AWS Marketplace penawaran.

    • Lihat langganan.

    • Berhenti berlangganan dari AWS Marketplace penawaran.

    catatan

    Kunci kondisi aws:CalledViaLast membatasi tindakan ini hanya ketika mereka dipanggil melalui layanan Amazon Bedrock.

AWS kebijakan terkelola: AmazonBedrockMarketplaceAccess

Anda dapat melampirkan AmazonBedrockMarketplaceAccesskebijakan ke identitas IAM Anda untuk memungkinkannya mengelola dan menggunakan titik akhir model pasar Amazon Bedrock dengan integrasi AI. SageMaker Kebijakan tersebut mencakup pernyataan berikut:

  • BedrockMarketplaceAPIsPernyataan ini memungkinkan Anda membuat, menghapus, mendaftar, membatalkan pendaftaran, dan memperbarui titik akhir model pasar di Amazon Bedrock di semua sumber daya.

  • MarketplaceModelEndpointMutatingAPIsPernyataan ini memungkinkan Anda untuk membuat dan mengelola titik akhir SageMaker AI, konfigurasi titik akhir, dan model pada sumber daya yang ditentukan.

    • Gunakan tombol aws:CalledViaLast kondisi untuk memastikan bahwa tindakan ini hanya dilakukan ketika dipanggil melalui Bedrock.

    • Gunakan tombol aws:ResourceTag/sagemaker-sdk:bedrock kondisi untuk memastikan bahwa tindakan ini hanya dilakukan pada sumber daya yang ditandai sebagai kompatibel dengan Amazon Bedrock.

  • MarketplaceModelEndpointAddTagsOperationsPernyataan ini memungkinkan penambahan tag tertentu ke titik akhir SageMaker AI, konfigurasi titik akhir, dan model pada sumber daya yang ditentukan.

    • Gunakan tombol aws:TagKeys kondisi untuk membatasi tag mana yang dapat ditambahkan

    • Gunakan tombol aws:RequestTag/* kondisi untuk memastikan nilai tag cocok dengan pola yang ditentukan

  • MarketplaceModelEndpointDeleteTagsOperationsPernyataan ini memungkinkan penghapusan tag tertentu dari titik akhir SageMaker AI, konfigurasi titik akhir, dan model pada sumber daya yang ditentukan.

    • Gunakan tombol aws:TagKeys kondisi untuk membatasi tag mana yang dapat dihapus

    • Gunakan tombol aws:ResourceTag/* kondisi untuk memastikan tag yang dihapus cocok dengan pola yang ditentukan

  • MarketplaceModelEndpointNonMutatingAPIsPernyataan ini memungkinkan melihat dan mendeskripsikan titik akhir SageMaker AI, konfigurasi titik akhir, dan model pada sumber daya yang ditentukan.

    • Gunakan tombol aws:CalledViaLast kondisi untuk memastikan tindakan hanya dilakukan melalui layanan Amazon Bedrock

  • MarketplaceModelEndpointInvokingOperationsPernyataan tersebut memungkinkan pemanggilan titik akhir SageMaker AI pada sumber daya yang ditentukan.

    • Gunakan tombol aws:CalledViaLast kondisi untuk memastikan tindakan hanya dilakukan melalui layanan Amazon Bedrock

    • Gunakan tombol aws:ResourceTag/sagemaker-sdk:bedrock kondisi untuk memastikan tindakan hanya dilakukan pada sumber daya yang kompatibel dengan BedROCK

  • DiscoveringMarketplaceModelPernyataan tersebut memungkinkan decribing konten hub SageMaker AI pada sumber daya yang ditentukan.

  • AllowMarketplaceModelsListingPernyataan tersebut memungkinkan daftar konten hub SageMaker AI pada sumber daya yang ditentukan.

  • PassRoleToSageMakerPernyataan tersebut memungkinkan meneruskan peran IAM ke SageMaker AI dan Amazon Bedrock pada sumber daya yang ditentukan.

    • Gunakan kunci iam:PassedToService kondisi untuk memastikan peran hanya diteruskan ke layanan tertentu.

  • PassRoleToBedrockPernyataan ini memungkinkan Anda untuk meneruskan peran IAM tertentu ke Amazon Bedrock pada sumber daya yang ditentukan.

    • Gunakan tombol iam:PassedToService kondisi untuk memastikan peran hanya diteruskan ke layanan Amazon Bedrock.

Amazon Bedrock memperbarui kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon Bedrock sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan ke umpan RSS pada halaman Riwayat dokumen untuk Panduan Pengguna Amazon Bedrock.

Perubahan Deskripsi Tanggal

AmazonBedrockMarketplaceAccess – Kebijakan baru

Amazon Bedrock menambahkan kebijakan baru untuk memberikan izin kepada pelanggan untuk mengakses model yayasan Amazon Bedrock Marketplace melalui SageMaker titik akhir AI.

 Juni 13, 2025

AmazonBedrockLimitedAccess – Kebijakan baru

Amazon Bedrock menambahkan kebijakan baru untuk memberikan izin dasar kepada pelanggan untuk mengakses tindakan inti di Amazon Bedrock.

 Juni 13, 2025

AmazonBedrockFullAccess— Kebijakan yang diperbarui

Amazon Bedrock memperbarui kebijakan AmazonBedrockFullAccess terkelola untuk memberi pelanggan izin yang diperlukan untuk membuat, membaca, memperbarui, dan menghapus sumber daya Amazon Bedrock Marketplace. Ini termasuk izin untuk mengelola sumber daya Amazon SageMaker AI yang mendasarinya, karena berfungsi sebagai dasar untuk fungsionalitas Amazon Bedrock Marketplace.

 4 Desember 2024

AmazonBedrockReadOnly— Kebijakan yang diperbarui

Amazon Bedrock memperbarui kebijakan AmazonBedrockReadOnly terkelola untuk memberi pelanggan izin yang diperlukan untuk membaca sumber daya Amazon Bedrock Marketplace. Ini termasuk izin untuk mengelola sumber daya Amazon SageMaker AI yang mendasarinya, karena berfungsi sebagai dasar untuk fungsionalitas Amazon Bedrock Marketplace.

 4 Desember 2024

AmazonBedrockReadOnly— Kebijakan yang diperbarui

Amazon Bedrock memperbarui AmazonBedrockReadOnly kebijakan untuk menyertakan izin hanya-baca untuk impor model kustom.

 Oktober 18, 2024

AmazonBedrockReadOnly— Kebijakan yang diperbarui

Amazon Bedrock menambahkan izin read-only profil inferensi.

 Agustus 27, 2024

AmazonBedrockReadOnly— Kebijakan yang diperbarui

Amazon Bedrock memperbarui AmazonBedrockReadOnly kebijakan untuk menyertakan izin hanya-baca untuk Amazon Bedrock Guardrails, evaluasi Amazon Bedrock Model, dan inferensi Batch Amazon Bedrock.

 Agustus 21, 2024

AmazonBedrockReadOnly— Kebijakan yang diperbarui

Amazon Bedrock menambahkan izin hanya-baca inferensi batch (pekerjaan pemanggilan model).

 Agustus 21, 2024

AmazonBedrockReadOnly— Kebijakan yang diperbarui

Amazon Bedrock memperbarui AmazonBedrockReadOnly kebijakan untuk menyertakan izin hanya-baca untuk Impor Model Kustom Amazon Bedrock.

 September 3, 2024

AmazonBedrockFullAccess – Kebijakan baru

Amazon Bedrock menambahkan kebijakan baru untuk memberikan izin kepada pengguna untuk membuat, membaca, memperbarui, dan menghapus sumber daya.

 Desember 12, 2023

AmazonBedrockReadOnly – Kebijakan baru

Amazon Bedrock menambahkan kebijakan baru untuk memberi pengguna izin hanya-baca untuk semua tindakan.

 Desember 12, 2023

Amazon Bedrock mulai melacak perubahan

Amazon Bedrock mulai melacak perubahan untuk kebijakan AWS terkelolanya.

 Desember 12, 2023