AWSpolitiche gestite per Amazon Bedrock - Amazon Bedrock
AmazonBedrockFullAccessAmazonBedrockReadOnlyAmazonBedrockLimitedAccessAmazonBedrockMarketplaceAccessAmazonBedrockMantleFullAccessAmazonBedrockMantleReadOnlyAmazonBedrockMantleInferenceAccessAggiornamenti delle policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSpolitiche gestite per Amazon Bedrock

Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le politiche AWS gestite che scrivere le politiche da soli. La creazione di policy gestite dai clienti IAM che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste policy coprono i casi d’uso comuni e sono disponibili nell’account Account AWS.

Per un elenco delle politiche AWS gestite, consulta le politiche AWS gestite nel riferimento alle politiche AWS gestite. Per ulteriori informazioni sulle policy AWS gestite, consulta le policy AWS gestite nella IAM User Guide.

AWSi servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.

Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy ReadOnlyAccessAWSgestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l’elenco e la descrizione delle policy di funzione dei processi, consultare la sezione Policy gestite da AWS per funzioni di processi nella Guida per l’utente di IAM.

AWSpolitica gestita: AmazonBedrockFullAccess

Puoi allegare la AmazonBedrockFullAccesspolicy alle tue identità IAM per concedere autorizzazioni amministrative che consentono all'utente di creare, leggere, aggiornare ed eliminare risorse Amazon Bedrock.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • ec2(Amazon Elastic Compute Cloud): consente le autorizzazioni per descrivere VPCs, sottoreti e gruppi di sicurezza.

  • iam(AWSIdentity and Access Management): consente ai responsabili di passare i ruoli, ma consente solo ai ruoli IAM contenenti «Amazon Bedrock» di essere trasferiti al servizio Amazon Bedrock. Le autorizzazioni sono limitate a bedrock.amazonaws.com per le operazioni Amazon Bedrock.

  • kms(AWSKey Management Service): consente ai responsabili di descrivere AWS KMS chiavi e alias.

  • bedrock (Amazon Bedrock): consente ai principali di accedere in lettura e scrittura a tutte le azioni nel piano di controllo (control-plane) e nel servizio di runtime di Amazon Bedrock.

  • sagemaker(Amazon SageMaker AI): consente ai mandanti di accedere alle risorse Amazon SageMaker AI nell'account del cliente, che funge da base per la funzionalità Amazon Bedrock Marketplace.

JSON
{
     "Version":"2012-10-17",		 	 	 		 	 	 
     "Statement": [
         {
             "Sid": "BedrockAll",
             "Effect": "Allow",
             "Action": [
                 "bedrock:*"
             ],
             "Resource": "*"
         },
         {
             "Sid": "DescribeKey",
             "Effect": "Allow",
             "Action": [
                 "kms:DescribeKey"
             ],
             "Resource": "arn:*:kms:*:::*"
         },
         {
             "Sid": "APIsWithAllResourceAccess",
             "Effect": "Allow",
             "Action": [
                 "iam:ListRoles",
                 "ec2:DescribeVpcs",
                 "ec2:DescribeSubnets",
                 "ec2:DescribeSecurityGroups"
             ],
             "Resource": "*"
         },
         {
             "Sid": "MarketplaceModelEndpointMutatingAPIs",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:CreateEndpoint",
                 "sagemaker:CreateEndpointConfig",
                 "sagemaker:CreateModel",
                 "sagemaker:DeleteEndpoint",
                 "sagemaker:UpdateEndpoint"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com",
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointAddTagsOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:AddTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "ForAllValues:StringEquals": {
                     "aws:TagKeys": [
                         "sagemaker-sdk:bedrock",
                         "bedrock:marketplace-registration-status",
                         "sagemaker-studio:hub-content-arn"
                     ]
                 },
                 "StringLike": {
                     "aws:RequestTag/sagemaker-sdk:bedrock": "compatible",
                     "aws:RequestTag/bedrock:marketplace-registration-status": "registered",
                     "aws:RequestTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointDeleteTagsOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DeleteTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "ForAllValues:StringEquals": {
                     "aws:TagKeys": [
                         "sagemaker-sdk:bedrock",
                         "bedrock:marketplace-registration-status",
                         "sagemaker-studio:hub-content-arn"
                     ]
                 },
                 "StringLike": {
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible",
                     "aws:ResourceTag/bedrock:marketplace-registration-status": "registered",
                     "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointNonMutatingAPIs",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DescribeEndpoint",
                 "sagemaker:DescribeEndpointConfig",
                 "sagemaker:DescribeModel",
                 "sagemaker:DescribeInferenceComponent",
                 "sagemaker:ListEndpoints",
                 "sagemaker:ListTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointInvokingOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:InvokeEndpoint",
                 "sagemaker:InvokeEndpointWithResponseStream"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com",
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
                 }
             }
         },
         {
             "Sid": "DiscoveringMarketplaceModel",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DescribeHubContent"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*",
                 "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
             ]
         },
         {
             "Sid": "AllowMarketplaceModelsListing",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:ListHubContents"
             ],
             "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
         },
         {
             "Sid": "PassRoleToSageMaker",
             "Effect": "Allow",
             "Action": [
                 "iam:PassRole"
             ],
             "Resource": [
                 "arn:aws:iam::*:role/*SageMaker*ForBedrock*"
             ],
             "Condition": {
                 "StringEquals": {
                     "iam:PassedToService": [
                         "sagemaker.amazonaws.com",
                         "bedrock.amazonaws.com"
                     ]
                 }
             }
         },
         {
             "Sid": "PassRoleToBedrock",
             "Effect": "Allow",
             "Action": [
                 "iam:PassRole"
             ],
             "Resource": "arn:aws:iam::*:role/*AmazonBedrock*",
             "Condition": {
                 "StringEquals": {
                     "iam:PassedToService": [
                         "bedrock.amazonaws.com"
                     ]
                 }
             }
         },
         {
             "Sid": "MarketplaceOperationsFromBedrockFor3pModels",
             "Effect": "Allow",
             "Action": [
                 "aws-marketplace:Subscribe",
                 "aws-marketplace:ViewSubscriptions",
                 "aws-marketplace:Unsubscribe"
             ],
             "Resource": "*",
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com"
                 }
             }
         }
     ]
 }

AWSpolitica gestita: AmazonBedrockReadOnly

Puoi allegare la AmazonBedrockReadOnlypolicy alle tue identità IAM per concedere autorizzazioni di sola lettura per visualizzare tutte le risorse in Amazon Bedrock.

AWSpolitica gestita: AmazonBedrockLimitedAccess

Puoi allegare la AmazonBedrockLimitedAccesspolicy alle tue identità IAM per consentirle l'accesso ai servizi Amazon Bedrock, alla gestione delle AWS KMS chiavi, alle risorse di rete e agli abbonamenti AWS Marketplace per modelli di base di terze parti. La policy include le seguenti istruzioni:

  • L’istruzione BedrockAPIs consente di eseguire diverse operazioni in Amazon Bedrock, tra cui:

    • Trasferire la chiave API Amazon Bedrock quando si effettuano richieste API al servizio Amazon Bedrock.

    • Descrivere le informazioni sulle risorse.

    • Creare risorse (guardrail, modelli, processi).

    • Creare e perfezionare policy di ragionamento automatico (creazione, compilazione, perfezionamento e test delle policy).

    • Eliminare le risorse.

    • Invocare modelli su tutte le risorse.

  • L’istruzione DescribeKey consente di visualizzare le informazioni sulle chiavi KMS in tutte le Regioni e in tutti gli account, a condizione che le policy delle chiavi lo consentano.

  • L’istruzione APIsWithAllResourceAccess consente di:

    • Elencare i ruoli IAM.

    • Descrivi le risorse Amazon VPC (VPCssottoreti e gruppi di sicurezza) in tutte le risorse.

  • L’istruzione MarketplaceOperationsFromBedrockFor3pModels consente di:

    • Abbonati alle offerte. Marketplace AWS

    • Rinnovare l’abbonamento.

    • Annulla l'iscrizione alle offerteMarketplace AWS.

    Nota

    La chiave di condizione aws:CalledViaLast limita queste azioni solo quando vengono chiamate tramite il servizio Amazon Bedrock.

AWSpolitica gestita: AmazonBedrockMarketplaceAccess

Puoi collegare la AmazonBedrockMarketplaceAccesspolicy alle tue identità IAM per consentirle di gestire e utilizzare gli endpoint del modello di marketplace Amazon Bedrock con SageMaker integrazione AI. La policy include le seguenti istruzioni:

  • L’istruzione BedrockMarketplaceAPIs consente di creare, eliminare, registrare, annullare la registrazione e aggiornare gli endpoint del modello del marketplace in Amazon Bedrock su tutte le risorse.

  • La MarketplaceModelEndpointMutatingAPIs dichiarazione consente di creare e gestire endpoint di SageMaker intelligenza artificiale, configurazioni di endpoint e modelli su risorse specifiche.

    • Utilizzare la chiave di condizione aws:CalledViaLast per garantire che queste azioni vengano eseguite solo quando chiamate tramite Bedrock.

    • Utilizzare la chiave di condizione aws:ResourceTag/sagemaker-sdk:bedrock per garantire che queste azioni vengano eseguite solo su risorse contrassegnate come compatibili con Amazon Bedrock.

  • L'MarketplaceModelEndpointAddTagsOperationsistruzione consente di aggiungere tag specifici agli endpoint di SageMaker intelligenza artificiale, alle configurazioni degli endpoint e ai modelli su risorse specifiche.

    • Utilizzare la chiave di condizione aws:TagKeys per limitare i tag che possono essere aggiunti

    • Utilizzare la chiave di condizione aws:RequestTag/* per garantire che i valori dei tag corrispondano ai modelli specificati

  • L'MarketplaceModelEndpointDeleteTagsOperationsistruzione consente di eliminare tag specifici dagli endpoint SageMaker AI, dalle configurazioni degli endpoint e dai modelli su risorse specifiche.

    • Utilizzare la chiave di condizione aws:TagKeys per limitare i tag che possono essere eliminati

    • Utilizzare la chiave di condizione aws:ResourceTag/* per garantire che i valori dei tag eliminati corrispondano ai modelli specificati

  • L'MarketplaceModelEndpointNonMutatingAPIsinformativa consente di visualizzare e descrivere gli endpoint di SageMaker intelligenza artificiale, le configurazioni degli endpoint e i modelli su risorse specifiche.

    • Utilizzare la chiave di condizione aws:CalledViaLast per assicurare che le azioni vengano eseguite solo tramite il servizio Amazon Bedrock

  • L'MarketplaceModelEndpointInvokingOperationsistruzione consente di richiamare gli endpoint SageMaker AI su risorse specifiche.

    • Utilizzare la chiave di condizione aws:CalledViaLast per garantire che le azioni vengano eseguite solo tramite il servizio Amazon Bedrock

    • Utilizzare la chiave di condizione aws:ResourceTag/sagemaker-sdk:bedrock per garantire che le azioni vengano eseguite solo su risorse compatibili con Bedrock

  • L'DiscoveringMarketplaceModelistruzione consente di descrivere il contenuto dell'hub SageMaker AI su risorse specifiche.

  • L'AllowMarketplaceModelsListingistruzione consente di elencare i contenuti dell'hub SageMaker AI su risorse specifiche.

  • L'PassRoleToSageMakeristruzione consente di passare ruoli IAM ad SageMaker AI e Amazon Bedrock su risorse specifiche.

    • Utilizzare la chiave di condizione iam:PassedToService per garantire che i ruoli vengano trasferiti solo a servizi specifici.

  • L’istruzione PassRoleToBedrock consente di trasferire i ruoli IAM specifici ad Amazon Bedrock su risorse specifiche.

    • Utilizzare la chiave di condizione iam:PassedToService per garantire che le azioni vengano eseguite solo tramite il servizio Amazon Bedrock.

AWSpolitica gestita: AmazonBedrockMantleFullAccess

Puoi allegare la AmazonBedrockMantleFullAccesspolicy alle tue identità IAM per garantire l'accesso completo a tutte le operazioni di Amazon Bedrock Mantle.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • bedrock-mantle(Amazon Bedrock Mantle): consente ai mandanti l'accesso completo a tutte le azioni del servizio Amazon Bedrock Mantle.

AWSpolitica gestita: AmazonBedrockMantleReadOnly

Puoi allegare la AmazonBedrockMantleReadOnlypolicy alle tue identità IAM per concedere autorizzazioni di sola lettura per visualizzare le risorse di Amazon Bedrock Mantle e effettuare chiamate con token bearer.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • bedrock-mantle(Amazon Bedrock Mantle): consente ai responsabili di ottenere ed elencare le risorse del progetto Amazon Bedrock Mantle e di effettuare chiamate con il token bearer per l'autenticazione.

AWSpolitica gestita: AmazonBedrockMantleInferenceAccess

Puoi allegare la AmazonBedrockMantleInferenceAccesspolicy alle tue identità IAM per concedere le autorizzazioni per eseguire inferenze sui modelli Amazon Bedrock Mantle.

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • bedrock-mantle(Amazon Bedrock Mantle): consente ai responsabili di ottenere ed elencare le risorse del progetto Amazon Bedrock Mantle, creare richieste di inferenza e effettuare chiamate con token bearer per l'autenticazione.

Amazon Bedrock si aggiorna alle politiche AWS gestite

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon Bedrock da quando questo servizio ha iniziato a tracciare queste modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, iscriversi al feed RSS alla pagina Cronologia dei documenti per la Guida per l’utente di Amazon Bedrock.

Modifica Descrizione Data

AmazonBedrockMantleFullAccess: nuova policy

Amazon Bedrock ha aggiunto una nuova politica per garantire l'accesso completo a tutte le operazioni di Amazon Bedrock Mantle.

 3 dicembre 2025

AmazonBedrockMantleReadOnly: nuova policy

Amazon Bedrock ha aggiunto una nuova politica per concedere l'accesso in sola lettura alle risorse di Amazon Bedrock Mantle.

 3 dicembre 2025

AmazonBedrockMantleInferenceAccess: nuova policy

Amazon Bedrock ha aggiunto una nuova policy per concedere l'accesso all'inferenza ai modelli Amazon Bedrock Mantle.

 3 dicembre 2025

AmazonBedrockFullAccess— Politica aggiornata

Amazon Bedrock ha aggiornato la policy AmazonBedrockFullAccess gestita per consentire l'accesso a tutti i modelli di base serverless per impostazione predefinita.

 14 luglio 2025

AmazonBedrockMarketplaceAccess: nuova policy

Amazon Bedrock ha aggiunto una nuova politica per concedere ai clienti le autorizzazioni per accedere ai modelli base di Amazon Bedrock Marketplace tramite SageMaker un endpoint di intelligenza artificiale.

 13 giugno 2025

AmazonBedrockLimitedAccess: nuova policy

Amazon Bedrock ha aggiunto una nuova policy per concedere ai clienti le autorizzazioni di base per accedere alle azioni principali in Amazon Bedrock.

 13 giugno 2025

AmazonBedrockFullAccess— Politica aggiornata

Amazon Bedrock ha aggiornato la politica AmazonBedrockFullAccess gestita per concedere ai clienti le autorizzazioni necessarie per creare, leggere, aggiornare ed eliminare le risorse di Amazon Bedrock Marketplace. Ciò include le autorizzazioni per gestire le risorse Amazon SageMaker AI sottostanti, in quanto fungono da base per la funzionalità di Amazon Bedrock Marketplace.

 4 dicembre 2024

AmazonBedrockReadOnly— Politica aggiornata

Amazon Bedrock ha aggiornato la politica AmazonBedrockReadOnly gestita per concedere ai clienti le autorizzazioni necessarie per leggere le risorse di Amazon Bedrock Marketplace. Ciò include le autorizzazioni per gestire le risorse Amazon SageMaker AI sottostanti, in quanto fungono da base per la funzionalità di Amazon Bedrock Marketplace.

 4 dicembre 2024

AmazonBedrockReadOnly— Politica aggiornata

Amazon Bedrock ha aggiornato la AmazonBedrockReadOnly policy per includere autorizzazioni di sola lettura per l'importazione di modelli personalizzati.

 18 ottobre 2024

AmazonBedrockReadOnly— Politica aggiornata

Amazon Bedrock ha aggiunto le autorizzazioni in sola lettura per il profilo di inferenza.

 27 agosto 2024

AmazonBedrockReadOnly— Politica aggiornata

Amazon Bedrock ha aggiornato la AmazonBedrockReadOnly policy per includere autorizzazioni di sola lettura per Amazon Bedrock Guardrails, la valutazione del modello Amazon Bedrock e l'inferenza di Amazon Bedrock Batch.

 21 agosto 2024

AmazonBedrockReadOnly— Politica aggiornata

Amazon Bedrock ha aggiunto le autorizzazioni di sola lettura per l’inferenza in batch (processo di invocazione del modello).

 21 agosto 2024

AmazonBedrockReadOnly— Politica aggiornata

Amazon Bedrock ha aggiornato la AmazonBedrockReadOnly policy per includere autorizzazioni di sola lettura per Amazon Bedrock Custom Model Import.

 3 settembre 2024

AmazonBedrockFullAccess: nuova policy

Amazon Bedrock ha aggiunto una nuova policy per concedere agli utenti le autorizzazioni per creare, leggere, aggiornare ed eliminare le risorse.

 12 dicembre 2023

AmazonBedrockReadOnly: nuova policy

Amazon Bedrock ha aggiunto una nuova policy per fornire agli utenti le autorizzazioni di sola lettura per tutte le azioni.

 12 dicembre 2023

Amazon Bedrock ha cominciato a tenere traccia delle modifiche

Amazon Bedrock ha iniziato a tracciare le modifiche per le sue politiche AWS gestite.

 12 dicembre 2023