Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Concedi le autorizzazioni IAM per richiedere l'accesso ai modelli Amazon Bedrock Foundation
L'accesso ai modelli di base serverless di Amazon Bedrock è controllato dalle seguenti azioni IAM:
| Operazione IAM | Descrizione | Si applica a quali modelli |
|---|---|---|
| substrato roccioso: PutFoundationModelEntitlement | Consente a un'identità IAM di richiedere l'accesso ai modelli di base serverless di Amazon Bedrock. | Tutti i modelli serverless Amazon Bedrock |
| AWS-Marketplace: iscriviti |
Consente a un'entità IAM di abbonarsi a Marketplace AWS prodotti, inclusi i modelli Amazon Bedrock Foundation. |
Solo i modelli serverless di Amazon Bedrock con un ID prodotto in. Marketplace AWS |
| AWS-Marketplace: annulla l'iscrizione | Consente a un'identità IAM di annullare l'iscrizione ai Marketplace AWS prodotti, inclusi i modelli Amazon Bedrock Foundation. | Solo i modelli serverless di Amazon Bedrock con un ID prodotto in. Marketplace AWS |
| aws-marketplace: ViewSubscriptions | Consente a un'identità IAM di restituire un elenco di Marketplace AWS prodotti, inclusi i modelli Amazon Bedrock Foundation. | Solo i modelli serverless di Amazon Bedrock con un ID prodotto in. Marketplace AWS |
Nota
Solo per questa aws-marketplace:Subscribe azione, puoi utilizzare il tasto aws-marketplace:ProductId condition per limitare l'abbonamento a modelli specifici.
Affinché un'identità IAM richieda l'accesso ai modelli
L'identità deve avere una policy allegata che consenta le seguenti azioni:
-
bedrock:PutFoundationModelEntitlement -
aws-marketplace:Subscribe(solo se il modello ha un ID di prodotto)Nota
Se un'identità è già abbonata a un modello in una AWS regione, il modello diventa disponibile per l'identità per richiedere l'accesso in tutte le AWS regioni in cui il modello è disponibile, anche se
aws-marketplace:Subscribeviene negato in altre regioni.Per impedire l'abbonamento a tutti i modelli in regioni specifiche, utilizza l'
bedrock:PutFoundationModelEntitlementazione. Per vedere un esempio, consulta Impedisci a un'identità di richiedere l'accesso ai modelli in regioni specifiche.
Seleziona una sezione per vedere esempi di policy IAM per un caso d'uso specifico:
Argomenti
Consenti a un'identità di richiedere l'accesso a un modello specifico
Impedisci a un'identità di richiedere l'accesso a un modello con un ID di prodotto
Impedisci a un'identità di richiedere l'accesso ai modelli in regioni specifiche
Impedire a un'identità di utilizzare un modello dopo che l'accesso è già stato concesso
Consenti a un'identità di richiedere l'accesso a un modello specifico
Affinché un'entità IAM richieda l'accesso a un modello, deve disporre almeno delle seguenti autorizzazioni:
-
bedrock:PutFoundationModelEntitlement— IlResourcecampo deve essere.* -
(Se il modello ha un ID prodotto)
aws-marketplace:Subscribe: ilResourcecampo deve essere*. È possibile utilizzare la chiaveaws-marketplace:ProductIdcondizionale per definire l'abbonamento a modelli specifici.
Nota
Dopo che un'identità IAM ha già richiesto l'accesso a un modello in una AWS regione, ha bisogno solo delle autorizzazioni per l'bedrock:PutFoundationModelEntitlementazione di richiesta dell'accesso al modello in altre regioni. L'aws-marketplace:Subscribeazione non è più necessaria.
Ad esempio, è possibile allegare la seguente politica a un'identità per consentirle di sottoscrivere il Anthropic Claude 3.5 Sonnet modello per la prima volta:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:Subscribe" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws-marketplace:ProductId": [ "prod-m5ilt4siql27k" ] } } }, { "Effect": "Allow", "Action": [ "bedrock:PutFoundationModelEntitlement" ], "Resource": "*" } ] }
Nota
Questa politica è scalabile, poiché è possibile aggiungere in modo incrementale l'accesso ai modelli con la chiave di condizione ID del prodotto, se necessario.
Per i modelli che non dispongono di un ID di prodotto, ad esempioAmazon Nova Micro, o se il modello è già stato sottoscritto in una regione, è sufficiente una politica con solo la seguente dichiarazione:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:PutFoundationModelEntitlement" ], "Resource": "*" } ] }
Impedisci a un'identità di richiedere l'accesso a un modello con un ID di prodotto
Per impedire a un'entità IAM di richiedere l'accesso a un modello specifico dotato di un ID di prodotto, allega all'utente una policy IAM che neghi l'aws-marketplace:Subscribeazione e associ il Condition campo all'ID prodotto del modello.
Ad esempio, puoi allegare la seguente policy a un'identità per impedirle di sottoscrivere il modello: Anthropic Claude 3.5 Sonnet
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-marketplace:Subscribe" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws-marketplace:ProductId": [ "prod-m5ilt4siql27k" ] } } } ] }
Nota
Con questa policy, l'entità IAM avrà accesso a tutti i nuovi modelli aggiunti per impostazione predefinita.
Se l'identità ha già sottoscritto il modello in almeno una regione, questa politica non impedisce l'accesso in altre regioni. Puoi invece provare uno dei seguenti esempi:
-
Per impedire completamente l'abbonamento a modelli in altre regioni, consulta l'esempio in Impedire a un'identità di richiedere l'accesso ai modelli in aree specifiche.
-
Per impedire l'utilizzo di un modello, consulta l'esempio in Impedire a un'identità di utilizzare un modello dopo che l'accesso è già stato concesso.
Impedisci a un'identità di richiedere l'accesso ai modelli in regioni specifiche
Se un'identità IAM ha già richiesto l'accesso a un modello in una regione, puoi controllare l'accesso all'abbonamento al modello in altre regioni includendo l'bedrock:PutFoundationModelEntitlementazione in un'istruzione e utilizzando la chiave di aws:RequestedRegion condizione globale.
Ad esempio, puoi collegare la seguente policy a un'identità IAM per consentirle di richiedere l'accesso solo ai modelli nelle regioni degli Stati Uniti:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:PutFoundationModelEntitlement" ], "Resource": "*", "Condition": { "StringLike": { "aws:RequestedRegion": "us-*" } } } ] }
Nota
bedrock:PutFoundationModelEntitlementnon riguarda modelli specifici, quindi non puoi controllare l'accesso di un'identità a modelli specifici se non dispone di un ID di prodotto o se l'identità ha già accesso al modello in un'altra regione. È invece possibile controllare l'utilizzo del modello seguendo l'esempio riportato in Impedire a un'identità di utilizzare un modello dopo che l'accesso è già stato concesso.
Impedire a un'identità di utilizzare un modello dopo che l'accesso è già stato concesso
Se a un'identità IAM è già stato concesso l'accesso a un modello, puoi impedirne l'utilizzo negando tutte le azioni di Amazon Bedrock e limitando il Resource campo all'ARN del modello di base.
Ad esempio, puoi associare la seguente policy a un'identità per impedirle di utilizzare il Anthropic Claude 3.5 Sonnet modello in tutte le regioni: AWS
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "bedrock:*" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0" ] } ] }
