Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Azioni, risorse e chiavi di condizione per Amazon Bedrock Agentcore
Amazon Bedrock Agentcore (prefisso del servizio:bedrock-agentcore) fornisce le seguenti risorse, azioni e chiavi di contesto delle condizioni specifiche del servizio da utilizzare nelle politiche di autorizzazione IAM.
Riferimenti:
-
Scopri come configurare questo servizio.
-
Visualizza un elenco delle operazioni API disponibili per questo servizio.
-
Scopri come proteggere questo servizio e le sue risorse utilizzando le policy delle autorizzazioni IAM.
Argomenti
Azioni definite da Amazon Bedrock Agentcore
Puoi specificare le seguenti operazioni nell'elemento Action di un'istruzione di policy IAM. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando utilizzi un'operazione in una policy, in genere consenti o rifiuti l'accesso all'operazione API o al comando CLI con lo stesso nome. Tuttavia, in alcuni casi, una singola operazione controlla l'accesso a più di una operazione. In alternativa, alcune operazioni richiedono operazioni differenti.
La colonna Livello di accesso della tabella Azioni descrive come viene classificata l'azione (elenco, lettura, gestione delle autorizzazioni o etichettatura). Questa classificazione può aiutare a comprendere il livello di accesso che un'operazione mette a disposizione quando viene utilizzata in una policy. Per ulteriori informazioni sui livelli di accesso, vedere Livelli di accesso nei riepiloghi delle politiche.
La colonna Tipi di risorsa della tabella Operazioni indica se ogni operazione supporta le autorizzazioni a livello di risorsa. Se non vi è nessun valore in corrispondenza di questa colonna, è necessario specificare tutte le risorse ("*") alle quali si applica la policy nell'elemento Resource dell'istruzione di policy. Se la colonna include un tipo di risorsa, puoi specificare un ARN di quel tipo in una istruzione con tale operazione. Se l'operazione ha una o più risorse richieste, il chiamante deve disporre dell'autorizzazione per utilizzare l'operazione con tali risorse. Le risorse richieste sono indicate nella tabella con un asterisco (*). Se si limita l'accesso alle risorse con l'elemento Resource in una policy IAM, è necessario includere un ARN o un modello per ogni tipo di risorsa richiesta. Alcune operazioni supportano più tipi di risorse. Se il tipo di risorsa è facoltativo (non indicato come obbligatorio), puoi scegliere di utilizzare uno tra i tipi di risorsa facoltativi.
La colonna Chiavi di condizione della tabella Operazioni contiene le chiavi che è possibile specificare nell'elemento Condition di un'istruzione di policy. Per ulteriori informazioni sulle chiavi di condizione associate alle risorse per il servizio guarda la colonna Chiavi di condizione della tabella Tipi di risorsa.
La colonna Azioni dipendenti della tabella Azioni mostra le autorizzazioni aggiuntive che possono essere necessarie per eseguire correttamente un'azione. Queste autorizzazioni possono essere necessarie in aggiunta all'autorizzazione per l'azione stessa. Quando un'azione specifica azioni dipendenti, tali dipendenze possono applicarsi a risorse aggiuntive definite per quell'azione, non solo alla prima risorsa elencata nella tabella.
Nota
Le chiavi relative alle condizioni delle risorse sono elencate nella tabella Tipi di risorse. Nella colonna Tipi di risorse (*obbligatorio) della tabella Operazioni è presente un collegamento al tipo di risorsa che si applica a un'operazione. Il tipo di risorsa nella tabella Tipi di risorse include la colonna Chiavi di condizione, che contiene le chiavi delle condizioni delle risorse che si applicano a un'operazione nella tabella Operazioni.
Per dettagli sulle colonne nella tabella seguente, consultare Tabella delle operazioni.
| Azioni | Descrizione | Livello di accesso | Tipi di risorsa (*obbligatorio) | Chiavi di condizione | Operazioni dipendenti |
|---|---|---|---|---|---|
| AllowVendedLogDeliveryForResource [solo autorizzazione] | Concede l'autorizzazione a configurare la telemetria fornita per una risorsa | Gestione delle autorizzazioni | |||
| AuthorizeAction [solo autorizzazione] | Concede l'autorizzazione a valutare le politiche Cedar per le richieste di autorizzazione | Gestione delle autorizzazioni | |||
| BatchCreateMemoryRecords | Concede il permesso di creare uno o più record di memoria | Scrittura | |||
| BatchDeleteMemoryRecords | Concede il permesso di eliminare uno o più record di memoria | Scrittura | |||
| BatchUpdateMemoryRecords | Concede il permesso di aggiornare uno o più record di memoria | Scrittura | |||
| CompleteResourceTokenAuth | Concede l'autorizzazione a recuperare il token di accesso OAuth2 affinché 3LO flow acceda a risorse esterne | Lettura | |||
|
bedrock-agentcore:InboundJwtClaim/iss bedrock-agentcore:InboundJwtClaim/sub bedrock-agentcore:InboundJwtClaim/aud bedrock-agentcore:InboundJwtClaim/scope |
|||||
| ConnectBrowserAutomationStream | Concede l'autorizzazione a connettersi a un flusso di automazione del browser | Lettura | |||
| ConnectBrowserLiveViewStream | Concede l'autorizzazione a connettersi a uno streaming di visualizzazione live del browser | Lettura | |||
| CreateAgentRuntime | Concede l'autorizzazione a creare un nuovo runtime dell'agente | Scrittura |
iam:PassRole |
||
| CreateAgentRuntimeEndpoint | Concede l'autorizzazione a creare un nuovo endpoint di runtime dell'agente | Scrittura | |||
| CreateApiKeyCredentialProvider | Concede l'autorizzazione a creare un nuovo API Key Credential Provider | Scrittura | |||
| CreateBrowser | Concede l'autorizzazione a creare un nuovo browser personalizzato | Scrittura | |||
| CreateCodeInterpreter | Concede l'autorizzazione a creare un nuovo interprete di codice personalizzato | Scrittura | |||
| CreateEvaluator | Concede l'autorizzazione a creare un nuovo valutatore | Scrittura | |||
| CreateEvent | Concede il permesso di creare un evento | Scrittura | |||
| CreateGateway | Concede l'autorizzazione a creare un nuovo gateway | Scrittura |
iam:PassRole |
||
| CreateGatewayTarget | Concede l'autorizzazione a creare una nuova destinazione in un gateway esistente | Scrittura | |||
| CreateMemory | Concede l'autorizzazione a creare una risorsa di memoria | Scrittura |
iam:PassRole |
||
| CreateOauth2CredentialProvider | Concede l'autorizzazione a creare un nuovo Credential Provider per accedere a risorse esterne tramite protocollo OAuth2 | Scrittura | |||
| CreateOnlineEvaluationConfig | Concede l'autorizzazione a creare una nuova configurazione di valutazione online | Scrittura |
iam:PassRole |
||
| CreatePolicy | Concede l'autorizzazione a creare una nuova politica all'interno di un motore di policy | Scrittura | |||
| CreatePolicyEngine | Concede l'autorizzazione a creare un nuovo motore di policy | Scrittura | |||
| CreateWorkloadIdentity | Concede l'autorizzazione a creare una nuova identità del carico di lavoro | Scrittura | |||
| DeleteAgentRuntime | Concede l'autorizzazione a eliminare un runtime dell'agente | Scrittura | |||
| DeleteAgentRuntimeEndpoint | Concede l'autorizzazione a eliminare un endpoint di runtime dell'agente | Scrittura | |||
| DeleteApiKeyCredentialProvider | Concede l'autorizzazione a eliminare un provider di credenziali API Key registrato | Scrittura | |||
| DeleteBrowser | Concede l'autorizzazione a eliminare un browser personalizzato | Scrittura | |||
| DeleteCodeInterpreter | Concede l'autorizzazione a eliminare un interprete di codice personalizzato | Scrittura | |||
| DeleteEvaluator | Concede il permesso di eliminare un valutatore | Scrittura | |||
| DeleteEvent | Concede il permesso di eliminare un evento | Scrittura | |||
| DeleteGateway | Concede il permesso di eliminare un gateway esistente | Scrittura | |||
| DeleteGatewayTarget | Concede l'autorizzazione a eliminare una destinazione gateway esistente | Scrittura | |||
| DeleteMemory | Concede il permesso di eliminare una risorsa di memoria | Scrittura | |||
| DeleteMemoryRecord | Concede il permesso di eliminare un record di memoria | Scrittura | |||
| DeleteOauth2CredentialProvider | Concede l'autorizzazione a eliminare un fornitore di credenziali registrato OAuth2 | Scrittura | |||
| DeleteOnlineEvaluationConfig | Concede l'autorizzazione a eliminare una configurazione di valutazione online | Scrittura | |||
| DeletePolicy | Concede l'autorizzazione a eliminare una politica | Scrittura | |||
| DeletePolicyEngine | Concede l'autorizzazione a eliminare un modulo di gestione delle politiche | Scrittura | |||
| DeleteResourcePolicy | Concede l'autorizzazione a eliminare la politica basata sulle risorse per una risorsa Bedrock | Scrittura | |||
| DeleteWorkloadIdentity | Concede l'autorizzazione a eliminare un'identità di carico di lavoro registrata | Scrittura | |||
| Evaluate | Concede l'autorizzazione a eseguire una valutazione utilizzando un valutatore | Scrittura | |||
| GetAgentCard | Concede l'autorizzazione a recuperare una carta agente per A2A | Lettura | |||
| GetAgentRuntime | Concede l'autorizzazione a ottenere i dettagli del runtime di un agente | Lettura | |||
| GetAgentRuntimeEndpoint | Concede l'autorizzazione a ottenere i dettagli di un endpoint di runtime dell'agente | Lettura | |||
| GetApiKeyCredentialProvider | Concede l'autorizzazione a recuperare un provider di credenziali di chiavi API registrato in base al suo nome | Lettura | |||
| GetBrowser | Concede l'autorizzazione a ottenere i dettagli di un browser | Lettura | |||
| GetBrowserSession | Concede il permesso di ottenere i dettagli di una sessione del browser | Lettura | |||
| GetCodeInterpreter | Concede il permesso di ottenere i dettagli di un interprete di codice | Lettura | |||
| GetCodeInterpreterSession | Concede il permesso di ottenere i dettagli di una sessione di interprete di codice | Lettura | |||
| GetEvaluator | Concede il permesso di ottenere i dettagli di un valutatore | Lettura | |||
| GetEvent | Concede il permesso di recuperare un evento | Lettura | |||
| GetGateway | Concede l'autorizzazione a recuperare un gateway esistente | Lettura | |||
| GetGatewayTarget | Concede l'autorizzazione a recuperare una destinazione del gateway esistente | Lettura | |||
| GetMemory | Concede l'autorizzazione a recuperare i dettagli di una risorsa di memoria | Lettura | |||
| GetMemoryRecord | Concede il permesso di recuperare un record di memoria | Lettura | |||
| GetOauth2CredentialProvider | Concede l'autorizzazione a recuperare un fornitore di OAuth2 credenziali registrato in base al suo nome | Lettura | |||
| GetOnlineEvaluationConfig | Concede l'autorizzazione a ottenere i dettagli di una configurazione di valutazione online | Lettura | |||
| GetPolicy | Concede l'autorizzazione a recuperare una politica | Lettura | |||
| GetPolicyEngine | Concede l'autorizzazione a recuperare un modulo di gestione delle politiche | Lettura | |||
| GetPolicyGeneration | Concede l'autorizzazione a recuperare lo stato e i risultati di una richiesta di generazione di policy | Lettura | |||
| GetResourceApiKey | Concede l'autorizzazione a recuperare una chiave API associata a un fornitore di credenziali di chiavi Api | Lettura | |||
| GetResourceOauth2Token | Concede l'autorizzazione a recuperare il token di accesso con il flusso OAuth2 2LO o 3LO per accedere a risorse esterne | Lettura | |||
| GetResourcePolicy | Concede l'autorizzazione a recuperare la politica basata sulle risorse per una risorsa Bedrock | Lettura | |||
| GetTokenVault | Concede l'autorizzazione a recuperare la configurazione corrente di, incluse le impostazioni di crittografia TokenVault | Lettura | |||
| GetWorkloadAccessToken | Concede l'autorizzazione a recuperare un token di accesso al carico di lavoro per carichi di lavoro agentici che non agiscono per conto di un utente | Scrittura | |||
| GetWorkloadAccessTokenForJWT | Concede l'autorizzazione a recuperare un token di accesso Workload per carichi di lavoro agentici che agiscono per conto di un utente con il token JWT | Scrittura | |||
|
bedrock-agentcore:InboundJwtClaim/iss bedrock-agentcore:InboundJwtClaim/sub bedrock-agentcore:InboundJwtClaim/aud |
|||||
| GetWorkloadAccessTokenForUserId | Concede l'autorizzazione a recuperare un token di accesso Workload per carichi di lavoro agentici che agiscono per conto di un utente con ID utente | Scrittura | |||
| GetWorkloadIdentity | Concede l'autorizzazione a recuperare i dettagli per un'identità di Workload specifica, inclusi il nome e la restituzione consentita OAuth2 URLs | Lettura | |||
| InvokeAgentRuntime | Concede l'autorizzazione a richiamare un endpoint di runtime dell'agente | Scrittura | |||
| InvokeAgentRuntimeForUser | Concede l'autorizzazione a richiamare un endpoint di runtime dell'agente con - header X-Amzn-Bedrock-AgentCore Runtime-User-Id | Scrittura | |||
| InvokeAgentRuntimeWithWebSocketStream | Concede l'autorizzazione a richiamare un endpoint di runtime dell'agente con stream WebSocket | Scrittura | |||
| InvokeAgentRuntimeWithWebSocketStreamForUser | Concede l'autorizzazione a richiamare un endpoint di runtime dell'agente con stream e with - header WebSocket X-Amzn-Bedrock-AgentCore Runtime-User-Id | Scrittura | |||
| InvokeCodeInterpreter | Concede l'autorizzazione a richiamare una sessione di interprete di codice | Scrittura | |||
| InvokeGateway [solo autorizzazione] | Concede l'autorizzazione a richiamare un gateway | Gestione delle autorizzazioni | |||
| ListActors | Concede il permesso di elencare gli attori | List | |||
| ListAgentRuntimeEndpoints | Concede l'autorizzazione a elencare gli endpoint di runtime dell'agente | List | |||
| ListAgentRuntimeVersions | Concede l'autorizzazione a elencare le versioni di runtime dell'agente | List | |||
| ListAgentRuntimes | Concede l'autorizzazione a elencare i runtime degli agenti | List | |||
| ListApiKeyCredentialProviders | Concede l'autorizzazione a elencare tutti i provider di credenziali API Key nel Token Vault | Lettura | |||
| ListBrowserSessions | Concede l'autorizzazione a elencare le sessioni del browser | List | |||
| ListBrowsers | Concede l'autorizzazione a elencare i browser | List | |||
| ListCodeInterpreterSessions | Concede l'autorizzazione a elencare le sessioni dell'interprete di codice | List | |||
| ListCodeInterpreters | Concede l'autorizzazione a elencare gli interpreti di codici | List | |||
| ListEvaluators | Concede il permesso di elencare i valutatori | List | |||
| ListEvents | Concede l'autorizzazione a elencare gli eventi | List | |||
| ListGatewayTargets | Concede l'autorizzazione a elencare gli obiettivi del gateway esistenti | List | |||
| ListGateways | Concede l'autorizzazione a elencare i gateway esistenti | List | |||
| ListMemories | Concede l'autorizzazione a elencare le risorse di memoria | List | |||
| ListMemoryExtractionJobs | Concede il permesso di elencare i lavori di estrazione per questa memoria | List | |||
| ListMemoryRecords | Concede il permesso di elencare i record di memoria | List | |||
| ListOauth2CredentialProviders | Concede l'autorizzazione a elencare tutti i fornitori di OAuth2 credenziali nel Token Vault | Lettura | |||
| ListOnlineEvaluationConfigs | Concede l'autorizzazione a elencare le configurazioni di valutazione online | List | |||
| ListPolicies | Concede l'autorizzazione a elencare le politiche all'interno di un motore di policy | List | |||
| ListPolicyEngines | Concede l'autorizzazione a elencare i motori delle politiche | List | |||
| ListPolicyGenerationAssets | Concede l'autorizzazione a elencare le risorse politiche generate da una richiesta di generazione | List | |||
| ListPolicyGenerations | Concede l'autorizzazione a elencare le richieste di generazione di policy | List | |||
| ListSessions | Concede l'autorizzazione a elencare le sessioni | List | |||
| ListTagsForResource | Concede il permesso di elencare i tag per una risorsa Bedrock AgentCore | List | |||
| ListWorkloadIdentities | Concede l'autorizzazione a elencare tutte le identità del carico di lavoro nella cartella del chiamante Account AWS | Lettura | |||
| ManageAdminPolicy [solo autorizzazione] | Concede l'autorizzazione a creare o modificare le politiche wildcard che si applicano alle risorse del gateway | Gestione delle autorizzazioni | |||
| ManageResourceScopedPolicy [solo autorizzazione] | Concede l'autorizzazione a creare o modificare le politiche che si applicano a risorse gateway specifiche | Gestione delle autorizzazioni | |||
| PartiallyAuthorizeActions [solo autorizzazione] | Concede l'autorizzazione a eseguire una valutazione parziale delle politiche Cedar per autorizzare un chiamante a elencare gli strumenti che è autorizzato a chiamare | Gestione delle autorizzazioni | |||
| PutResourcePolicy | Concede l'autorizzazione a creare o aggiornare la politica basata sulle risorse per una risorsa Bedrock | Scrittura | |||
| RetrieveMemoryRecords | Concede l'autorizzazione a recuperare i record di memoria tramite interrogazioni sematiche | List | |||
| SetTokenVaultCMK | Concede l'autorizzazione ad associare una chiave gestita dal cliente (CMK) o una chiave gestita dal servizio a una chiave specifica TokenVault | Lettura | |||
| StartBrowserSession | Concede l'autorizzazione per avviare una nuova sessione del browser | Scrittura | |||
| StartCodeInterpreterSession | Concede il permesso di avviare una nuova sessione di interprete di codice | Scrittura | |||
| StartMemoryExtractionJob | Concede il permesso di avviare il processo di estrazione della memoria | Scrittura | |||
| StartPolicyGeneration | Concede l'autorizzazione ad avviare una richiesta di generazione di policy basata sull'intelligenza artificiale | Scrittura | |||
| StopBrowserSession | Concede l'autorizzazione a interrompere una sessione del browser | Scrittura | |||
| StopCodeInterpreterSession | Concede il permesso di interrompere una sessione di interprete di codice | Scrittura | |||
| StopRuntimeSession | Concede il permesso di interrompere una sessione di runtime | Scrittura | |||
| SynchronizeGatewayTargets [solo autorizzazione] | Concede l'autorizzazione per abilitare la ricerca sui gateway | Gestione delle autorizzazioni | |||
| TagResource | Concede il permesso di etichettare una risorsa Bedrock- AgentCore | Assegnazione di tag | |||
| UntagResource | Concede l'autorizzazione a rimuovere l'etichetta da una risorsa Bedrock AgentCore | Assegnazione di tag | |||
| UpdateAgentRuntime | Concede l'autorizzazione ad aggiornare il runtime di un agente | Scrittura |
iam:PassRole |
||
| UpdateAgentRuntimeEndpoint | Concede l'autorizzazione ad aggiornare un endpoint di runtime dell'agente | Scrittura | |||
| UpdateApiKeyCredentialProvider | Concede l'autorizzazione ad aggiornare un provider di credenziali API Key esistente | Scrittura | |||
| UpdateBrowserStream | Concede l'autorizzazione ad aggiornare lo stato del flusso di sessione del browser | Scrittura | |||
| UpdateEvaluator | Concede l'autorizzazione ad aggiornare un valutatore | Scrittura | |||
| UpdateGateway | Concede l'autorizzazione ad aggiornare un gateway esistente | Scrittura |
iam:PassRole |
||
| UpdateGatewayTarget | Concede l'autorizzazione ad aggiornare una destinazione del gateway esistente | Scrittura | |||
| UpdateMemory | Concede l'autorizzazione ad aggiornare una risorsa di memoria | Scrittura |
iam:PassRole |
||
| UpdateOauth2CredentialProvider | Concede l'autorizzazione ad aggiornare un fornitore di credenziali esistente OAuth2 | Scrittura | |||
| UpdateOnlineEvaluationConfig | Concede l'autorizzazione ad aggiornare una configurazione di valutazione online | Scrittura |
iam:PassRole |
||
| UpdatePolicy | Concede l'autorizzazione ad aggiornare una politica esistente | Scrittura | |||
| UpdatePolicyEngine | Concede l'autorizzazione ad aggiornare un motore di policy | Scrittura | |||
| UpdateWorkloadIdentity | Concede l'autorizzazione ad aggiornare i metadati di un'identità di carico di lavoro esistente | Scrittura | |||
Tipi di risorse definiti da Amazon Bedrock Agentcore
I seguenti tipi di risorse sono definiti da questo servizio e possono essere utilizzati nell'elemento Resource delle istruzioni di policy delle autorizzazioni IAM. Ogni operazione nella Tabella delle operazioni identifica i tipi di risorse che possono essere specificati con tale operazione. Un tipo di risorsa può anche definire quali chiavi di condizione puoi includere in una policy. Queste chiavi vengono visualizzate nell'ultima colonna della tabella Tipi di risorsa. Per dettagli sulle colonne nella tabella seguente, consulta Tabella dei tipi di risorsa.
| Tipi di risorse | ARN | Chiavi di condizione |
|---|---|---|
| evaluator |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:evaluator/${EvaluatorId}
|
|
| online-evaluation-config |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:online-evaluation-config/${OnlineEvaluationConfigId}
|
|
| memory |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:memory/${MemoryId}
|
|
| gateway |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:gateway/${GatewayId}
|
|
| workload-identity |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}/workload-identity/${WorkloadIdentityName}
|
|
| oauth2credentialprovider |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/oauth2credentialprovider/${Name}
|
|
| apikeycredentialprovider |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/apikeycredentialprovider/${Name}
|
|
| runtime |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}
|
|
| runtime-endpoint |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}/runtime-endpoint/${Name}
|
|
| code-interpreter-custom |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:code-interpreter-custom/${CodeInterpreterId}
|
|
| code-interpreter |
arn:${Partition}:bedrock-agentcore:${Region}:aws:code-interpreter/${CodeInterpreterId}
|
|
| browser-custom |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:browser-custom/${BrowserId}
|
|
| browser |
arn:${Partition}:bedrock-agentcore:${Region}:aws:browser/${BrowserId}
|
|
| workload-identity-directory |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}
|
|
| token-vault |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}
|
|
| policy-engine |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:policy-engine/${PolicyEngineId}
|
|
| policy |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:policy-engine/${PolicyEngineId}/policy/${PolicyId}
|
|
| policy-generation |
arn:${Partition}:bedrock-agentcore:${Region}:${Account}:policy-engine/${PolicyEngineId}/policy-generation/${PolicyGenerationId}
|
Chiavi delle condizioni per Amazon Bedrock Agentcore
Amazon Bedrock Agentcore definisce le seguenti chiavi di condizione che possono essere utilizzate nell'Conditionelemento di una policy IAM. Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy. Per dettagli sulle colonne nella tabella seguente, consulta Tabella delle chiavi di condizione.
Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta le chiavi di AWS contesto delle condizioni globali.
| Chiavi di condizione | Descrizione | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra l'accesso creando richieste in base al set di valori consentito per ciascuno dei tag obbligatori | Stringa |
| aws:ResourceTag/${TagKey} | Filtra l'accesso disponendo di azioni basate sul valore del tag associato alla risorsa | Stringa |
| aws:TagKeys | Filtra l'accesso creando richieste in base alla presenza di tag obbligatori nella richiesta | ArrayOfString |
| bedrock-agentcore:GatewayAuthorizerType | Filtra l'accesso tramite l'attributo AuthorizerType su un Gateway | Stringa |
| bedrock-agentcore:InboundJwtClaim/aud | Filtra l'accesso in base all'audience claim (aud) nel JWT passato nella richiesta | ArrayOfString |
| bedrock-agentcore:InboundJwtClaim/client_id | Filtra l'accesso tramite l'affermazione client_id nel JWT passato nella richiesta | Stringa |
| bedrock-agentcore:InboundJwtClaim/iss | Filtra l'accesso da parte del claim dell'emittente (iss) presente nel JWT passato nella richiesta | Stringa |
| bedrock-agentcore:InboundJwtClaim/scope | Filtra l'accesso in base all'ambito richiesto nel JWT inserito nella richiesta | ArrayOfString |
| bedrock-agentcore:InboundJwtClaim/sub | Filtra l'accesso in base all'oggetto (sub) nel JWT passato nella richiesta | Stringa |
| bedrock-agentcore:actorId | Filtra l'accesso per Actor Id | Stringa |
| bedrock-agentcore:namespace | Filtra l'accesso per namespace | Stringa |
| bedrock-agentcore:sessionId | Filtra l'accesso in base all'ID della sessione | Stringa |
| bedrock-agentcore:strategyId | Filtra l'accesso in base all'ID della strategia di memoria | Stringa |
| bedrock-agentcore:userid | Filtra l'accesso in base al valore dell'ID utente statico passato nella richiesta | Stringa |
