AWS Amazon Bedrock の マネージドポリシー - Amazon Bedrock
AmazonBedrockFullAccessAmazonBedrockReadOnlyAmazonBedrockLimitedAccessAmazonBedrockMarketplaceAccessポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Amazon Bedrock の マネージドポリシー

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する IAM カスタマーマネージドポリシーを作成するには時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。

AWS 管理ポリシーのリストについては、「 AWS 管理ポリシーリファレンス」の AWS 「 管理ポリシー」を参照してください。 AWS 管理ポリシーの詳細については、IAM ユーザーガイドの「 AWS 管理ポリシー」を参照してください。

AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が中断されることはありません。

さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。例えば、ReadOnlyAccess AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「IAM ユーザーガイド」の「AWS のジョブ機能のマネージドポリシー」を参照してください。

AWS マネージドポリシー: AmazonBedrockFullAccess

AmazonBedrockFullAccess ポリシーを IAM ID にアタッチして、ユーザーに Amazon Bedrock リソースを作成、読み取り、更新、削除するためのアクセス許可を付与できます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ec2 (Amazon Elastic Compute Cloud) – VPC、サブネット、およびセキュリティグループを記述するためのアクセス許可を許可します。

  • iam (AWS アイデンティティとアクセス管理) – プリンシパルがロールを渡すことを許可しますが、プリンシパルに「Amazon Bedrock」が含まれる IAM ロールのみを Amazon Bedrock サービスに渡すことができます。アクセス許可は Amazon Bedrock オペレーションの bedrock.amazonaws.com に限定されています。

  • kms (AWS Key Management Service) – プリンシパルが AWS KMS キーとエイリアスを記述できるようにします。

  • bedrock (Amazon Bedrock) – Amazon Bedrock コントロールプレーンおよびランタイムサービスのすべてのアクションに対するプリンシパルの読み取りおよび書き込みアクセスを許可します。

  • sagemaker (Amazon SageMaker AI) – プリンシパルが顧客のアカウントの Amazon SageMaker AI リソースにアクセスできるようにします。これは、Amazon Bedrock Marketplace 機能の基盤として機能します。

AWS マネージドポリシー: AmazonBedrockReadOnly

AmazonBedrockReadOnly ポリシーを IAM ID にアタッチして、Amazon Bedrock 内のすべてのリソースを表示する読み取り専用アクセス許可を付与できます。

AWS マネージドポリシー: AmazonBedrockLimitedAccess

AmazonBedrockLimitedAccess ポリシーを IAM アイデンティティにアタッチして、サードパーティーの基盤モデルの Amazon Bedrock サービス、 AWS KMS キー管理、ネットワークリソース、および AWS Marketplace サブスクリプションへのアクセスを許可できます。ポリシーには、次のステートメントが含まれます。

  • BedrockAPIs ステートメントを使用すると、Amazon Bedrock で次のようないくつかのオペレーションを実行できます。

    • Amazon Bedrock サービスに API リクエストを行うときに Amazon Bedrock API キーを渡します。

    • リソースに関する情報の説明。

    • リソース (ガードレール、モデル、ジョブ) の作成。

    • 自動推論ポリシーの作成と絞り込み (ポリシーの作成、構築、絞り込み、テスト)。

    • リソースの削除。

    • すべてのリソースでモデルを呼び出します。

  • DescribeKey ステートメントでは、キーのポリシーで許可されている限り、すべてのリージョンとアカウントの KMS キーに関する情報を表示できます。

  • APIsWithAllResourceAccess ステートメントを使用すると、次のことができます。

    • IAM ロールを一覧表示する。

    • すべてのリソースにわたる Amazon VPC リソース (VPCs、サブネット、セキュリティグループ) について説明します。

  • MarketplaceOperationsFromBedrockFor3pModels ステートメントを使用すると、次のことができます。

    • AWS Marketplace サービスをサブスクライブします。

    • サブスクリプションを表示します。

    • AWS Marketplace サービスのサブスクリプションを解除します。

    注記

    条件キーは、Amazon Bedrock サービスを介して呼び出された場合にのみ、これらのアクションを aws:CalledViaLastに制限します。

AWS マネージドポリシー: AmazonBedrockMarketplaceAccess

AmazonBedrockMarketplaceAccess ポリシーを IAM アイデンティティにアタッチして、SageMaker AI 統合で Amazon Bedrock マーケットプレイスモデルエンドポイントを管理および使用できるようにします。ポリシーには、次のステートメントが含まれます。

  • BedrockMarketplaceAPIs ステートメントを使用すると、Amazon Bedrock のすべてのリソースでマーケットプレイスモデルエンドポイントを作成、削除、登録、登録解除、更新できます。

  • MarketplaceModelEndpointMutatingAPIs ステートメントを使用すると、指定されたリソースで SageMaker AI エンドポイント、エンドポイント設定、モデルを作成および管理できます。

    • aws:CalledViaLast 条件キーを使用して、これらのアクションが Bedrock を介して呼び出された場合にのみ実行されるようにします。

    • aws:ResourceTag/sagemaker-sdk:bedrock 条件キーを使用して、これらのアクションが Amazon Bedrock 互換としてタグ付けされたリソースでのみ実行されるようにします。

  • このMarketplaceModelEndpointAddTagsOperationsステートメントでは、指定されたリソースの SageMaker AI エンドポイント、エンドポイント設定、モデルに特定のタグを追加できます。

    • aws:TagKeys 条件キーを使用して、追加できるタグを制限する

    • aws:RequestTag/* 条件キーを使用して、タグ値が指定されたパターンと一致することを確認します。

  • このMarketplaceModelEndpointDeleteTagsOperationsステートメントでは、指定されたリソースの SageMaker AI エンドポイント、エンドポイント設定、モデルから特定のタグを削除できます。

    • aws:TagKeys 条件キーを使用して、削除できるタグを制限する

    • aws:ResourceTag/* 条件キーを使用して、削除されたタグが指定されたパターンと一致することを確認します。

  • このMarketplaceModelEndpointNonMutatingAPIsステートメントでは、指定されたリソースの SageMaker AI エンドポイント、エンドポイント設定、モデルを表示および記述できます。

    • aws:CalledViaLast 条件キーを使用して、アクションが Amazon Bedrock サービスを介してのみ実行されるようにする

  • MarketplaceModelEndpointInvokingOperations ステートメントでは、指定されたリソースで SageMaker AI エンドポイントを呼び出すことができます。

    • aws:CalledViaLast 条件キーを使用して、アクションが Amazon Bedrock サービスを介してのみ実行されるようにします。

    • aws:ResourceTag/sagemaker-sdk:bedrock 条件キーを使用して、アクションが Bedrock 互換リソースでのみ実行されるようにします。

  • DiscoveringMarketplaceModel ステートメントでは、指定されたリソースで SageMaker AI ハブコンテンツを記述できます。

  • このAllowMarketplaceModelsListingステートメントでは、指定されたリソースに SageMaker AI ハブのコンテンツを一覧表示できます。

  • このPassRoleToSageMakerステートメントでは、指定されたリソースで SageMaker AI と Amazon Bedrock に IAM ロールを渡すことができます。

    • iam:PassedToService 条件キーを使用して、ロールが指定されたサービスにのみ渡されるようにします。

  • PassRoleToBedrock ステートメントでは、指定されたリソースで特定の IAM ロールを Amazon Bedrock に渡すことができます。

    • iam:PassedToService 条件キーを使用して、ロールが Amazon Bedrock サービスにのみ渡されるようにします。

Amazon Bedrock の AWS マネージドポリシーの更新

このサービスがこれらの変更の追跡を開始してからの Amazon Bedrock の AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動通知を受けるには、Amazon Bedrock ユーザーガイドのドキュメント履歴 の RSS フィードを購読してください。

変更 説明 日付

AmazonBedrockMarketplaceAccess – 新しいポリシー

Amazon Bedrock は、SageMaker AI エンドポイントを介して Amazon Bedrock Marketplace 基盤モデルにアクセスする許可を顧客に付与する新しいポリシーを追加しました。

 2025 年 6 月 13 日

AmazonBedrockLimitedAccess – 新しいポリシー

Amazon Bedrock は、Amazon Bedrock のコアアクションにアクセスするための基本的なアクセス許可を顧客に付与する新しいポリシーを追加しました。

 2025 年 6 月 13 日

AmazonBedrockFullAccess – 更新されたポリシー

Amazon Bedrock はAmazonBedrockFullAccess 管理ポリシーを更新して、Amazon Bedrock Marketplace リソースの作成、読み取り、更新、削除に必要なアクセス許可をお客様に付与しました。これには、Amazon Bedrock Marketplace 機能の基盤として機能する、基盤となる Amazon SageMaker AI リソースを管理するアクセス許可が含まれます。

 2024 年 12 月 4 日

AmazonBedrockReadOnly – 更新したポリシー

Amazon Bedrock はAmazonBedrockReadOnly 管理ポリシーを更新して、Amazon Bedrock Marketplace リソースを読み取るために必要なアクセス許可を顧客に付与しました。これには、Amazon Bedrock Marketplace 機能の基盤として機能する、基盤となる Amazon SageMaker AI リソースを管理するアクセス許可が含まれます。

 2024 年 12 月 4 日

AmazonBedrockReadOnly – 更新したポリシー

Amazon Bedrock は AmazonBedrockReadOnly ポリシーを更新し、カスタムモデルインポートの読み取り専用アクセス権限を追加しました。

 2024 年 10 月 18 日

AmazonBedrockReadOnly – 更新したポリシー

Amazon Bedrock は、推論プロファイルの読み取り専用アクセス権限を追加しました。

 2024 年 8 月 27 日

AmazonBedrockReadOnly – 更新したポリシー

Amazon Bedrock は、AmazonBedrockReadOnly ポリシーを更新し、Amazon Bedrock Guardrails、Amazon Bedrock モデル評価、Amazon Bedrock バッチ推論の読み取り専用アクセス権限を追加しました。

 2024 年 8 月 21 日

AmazonBedrockReadOnly – 更新したポリシー

Amazon Bedrock は、バッチ推論 (モデル呼び出しジョブ) の読み取り専用アクセス権限を追加しました。

 2024 年 8 月 21 日

AmazonBedrockReadOnly – 更新したポリシー

Amazon Bedrock は AmazonBedrockReadOnly ポリシーを更新し、Amazon Bedrock カスタムモデルインポートの読み取り専用アクセス権限を追加しました。

 2024 年 9 月 3 日

AmazonBedrockFullAccess – 新しいポリシー

Amazon Bedrock は、リソースの作成、読み取り、更新、および削除に対するアクセス許可をユーザーに付与する新しいポリシーを追加しました。

 2023 年 12 月 12 日

AmazonBedrockReadOnly – 新しいポリシー

Amazon Bedrock は、すべてのアクションに対する読み取り専用アクセス許可をユーザーに付与する新しいポリシーを追加しました。

 2023 年 12 月 12 日

Amazon Bedrock が変更の追跡を開始

Amazon Bedrock は、 AWS 管理ポリシーの変更の追跡を開始しました。

 2023 年 12 月 12 日