AWSAmazon Bedrock の マネージドポリシー - Amazon Bedrock
AmazonBedrockFullAccessAmazonBedrockReadOnlyAmazonBedrockLimitedAccessAmazonBedrockMarketplaceAccessAmazonBedrockMantleFullAccessAmazonBedrockMantleReadOnlyAmazonBedrockMantleInferenceAccessポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSAmazon Bedrock の マネージドポリシー

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりもAWS管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する IAM カスタマーマネージドポリシーを作成するには時間と専門知識が必要です。すぐに開始するには、 AWSマネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、AWS アカウント で利用できます。

AWS管理ポリシーのリストについては、「 AWS管理ポリシーリファレンス」のAWS「 管理ポリシー」を参照してください。AWS管理ポリシーの詳細については、IAM ユーザーガイドの「 AWS管理ポリシー」を参照してください。

AWSサービスは、 AWS管理ポリシーを維持および更新します。AWS管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWSマネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。

さらに、 は、複数の サービスにまたがるジョブ関数の マネージドポリシーAWSをサポートしています。例えば、ReadOnlyAccessAWS 管理ポリシーは、すべてのAWSサービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可AWSを追加します。ジョブ機能のポリシーの一覧および詳細については、「IAM ユーザーガイド」の「AWS のジョブ機能のマネージドポリシー」を参照してください。

AWSマネージドポリシー: AmazonBedrockFullAccess

AmazonBedrockFullAccess ポリシーを IAM ID にアタッチすると、ユーザーアクセス許可に Amazon Bedrock リソースの作成、読み取り、更新、削除を許可する管理者アクセス許可を付与できます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ec2 (Amazon Elastic Compute Cloud) – VPC、サブネット、およびセキュリティグループを記述するためのアクセス許可を許可します。

  • iam (AWSアイデンティティとアクセス管理) – プリンシパルがロールを渡すことを許可しますが、プリンシパルに「Amazon Bedrock」が含まれる IAM ロールのみを Amazon Bedrock サービスに渡すことができます。アクセス許可は Amazon Bedrock オペレーションの bedrock.amazonaws.com に限定されています。

  • kms (AWSKey Management Service) – プリンシパルがAWS KMSキーとエイリアスを記述できるようにします。

  • bedrock (Amazon Bedrock) – Amazon Bedrock コントロールプレーンおよびランタイムサービスのすべてのアクションに対するプリンシパルの読み取りおよび書き込みアクセスを許可します。

  • sagemaker (Amazon SageMaker AI) – プリンシパルが顧客のアカウントの Amazon SageMaker AI リソースにアクセスできるようにします。これは、Amazon Bedrock Marketplace 機能の基盤として機能します。

JSON
{
     "Version":"2012-10-17",		 	 	 		 	 	 
     "Statement": [
         {
             "Sid": "BedrockAll",
             "Effect": "Allow",
             "Action": [
                 "bedrock:*"
             ],
             "Resource": "*"
         },
         {
             "Sid": "DescribeKey",
             "Effect": "Allow",
             "Action": [
                 "kms:DescribeKey"
             ],
             "Resource": "arn:*:kms:*:::*"
         },
         {
             "Sid": "APIsWithAllResourceAccess",
             "Effect": "Allow",
             "Action": [
                 "iam:ListRoles",
                 "ec2:DescribeVpcs",
                 "ec2:DescribeSubnets",
                 "ec2:DescribeSecurityGroups"
             ],
             "Resource": "*"
         },
         {
             "Sid": "MarketplaceModelEndpointMutatingAPIs",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:CreateEndpoint",
                 "sagemaker:CreateEndpointConfig",
                 "sagemaker:CreateModel",
                 "sagemaker:DeleteEndpoint",
                 "sagemaker:UpdateEndpoint"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com",
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointAddTagsOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:AddTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "ForAllValues:StringEquals": {
                     "aws:TagKeys": [
                         "sagemaker-sdk:bedrock",
                         "bedrock:marketplace-registration-status",
                         "sagemaker-studio:hub-content-arn"
                     ]
                 },
                 "StringLike": {
                     "aws:RequestTag/sagemaker-sdk:bedrock": "compatible",
                     "aws:RequestTag/bedrock:marketplace-registration-status": "registered",
                     "aws:RequestTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointDeleteTagsOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DeleteTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "ForAllValues:StringEquals": {
                     "aws:TagKeys": [
                         "sagemaker-sdk:bedrock",
                         "bedrock:marketplace-registration-status",
                         "sagemaker-studio:hub-content-arn"
                     ]
                 },
                 "StringLike": {
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible",
                     "aws:ResourceTag/bedrock:marketplace-registration-status": "registered",
                     "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointNonMutatingAPIs",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DescribeEndpoint",
                 "sagemaker:DescribeEndpointConfig",
                 "sagemaker:DescribeModel",
                 "sagemaker:DescribeInferenceComponent",
                 "sagemaker:ListEndpoints",
                 "sagemaker:ListTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointInvokingOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:InvokeEndpoint",
                 "sagemaker:InvokeEndpointWithResponseStream"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com",
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
                 }
             }
         },
         {
             "Sid": "DiscoveringMarketplaceModel",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DescribeHubContent"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*",
                 "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
             ]
         },
         {
             "Sid": "AllowMarketplaceModelsListing",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:ListHubContents"
             ],
             "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
         },
         {
             "Sid": "PassRoleToSageMaker",
             "Effect": "Allow",
             "Action": [
                 "iam:PassRole"
             ],
             "Resource": [
                 "arn:aws:iam::*:role/*SageMaker*ForBedrock*"
             ],
             "Condition": {
                 "StringEquals": {
                     "iam:PassedToService": [
                         "sagemaker.amazonaws.com",
                         "bedrock.amazonaws.com"
                     ]
                 }
             }
         },
         {
             "Sid": "PassRoleToBedrock",
             "Effect": "Allow",
             "Action": [
                 "iam:PassRole"
             ],
             "Resource": "arn:aws:iam::*:role/*AmazonBedrock*",
             "Condition": {
                 "StringEquals": {
                     "iam:PassedToService": [
                         "bedrock.amazonaws.com"
                     ]
                 }
             }
         },
         {
             "Sid": "MarketplaceOperationsFromBedrockFor3pModels",
             "Effect": "Allow",
             "Action": [
                 "aws-marketplace:Subscribe",
                 "aws-marketplace:ViewSubscriptions",
                 "aws-marketplace:Unsubscribe"
             ],
             "Resource": "*",
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com"
                 }
             }
         }
     ]
 }

AWSマネージドポリシー: AmazonBedrockReadOnly

AmazonBedrockReadOnly ポリシーを IAM ID にアタッチすると、Amazon Bedrock 内のすべてのリソースを表示する読み取り専用アクセス許可を付与できます。

AWSマネージドポリシー: AmazonBedrockLimitedAccess

AmazonBedrockLimitedAccess ポリシーを IAM ID にアタッチして、サードパーティーの基盤モデルの Amazon Bedrock サービス、AWS KMSキー管理、ネットワークリソース、AWSおよび Marketplace サブスクリプションへのアクセスを許可できます。このポリシーには、次のステートメントが含まれます。

  • BedrockAPIs ステートメントでは、Amazon Bedrock で次のような複数のオペレーションを実行できます。

    • Amazon Bedrock サービスに API リクエストを行うときに Amazon Bedrock API キーを渡す。

    • リソースに関する情報を説明する。

    • リソース (ガードレール、モデル、ジョブ) を作成する。

    • 自動推論ポリシーを作成し、絞り込む (ポリシーの作成、構築、絞り込み、テスト)。

    • リソースを削除する。

    • すべてのリソースでモデルを呼び出す。

  • DescribeKey ステートメントでは、キーのポリシーで許可されている限り、すべてのリージョンとアカウントの KMS キーに関する情報を表示できます。

  • APIsWithAllResourceAccess ステートメントでは、次のことができます。

    • IAM ロールを一覧表示する。

    • すべてのリソースの Amazon VPC リソース (VPC、サブネット、セキュリティグループ) について説明する。

  • MarketplaceOperationsFromBedrockFor3pModels ステートメントでは、次のことができます。

    • AWS Marketplaceサービスをサブスクライブします。

    • サブスクリプションを表示する。

    • AWS Marketplaceサービスのサブスクリプションを解除します。

    注記

    条件キー aws:CalledViaLast は、Amazon Bedrock サービスを介して呼び出された場合にのみ、これらのアクションを制限します。

AWSマネージドポリシー: AmazonBedrockMarketplaceAccess

AmazonBedrockMarketplaceAccess ポリシーを IAM ID にアタッチすると、SageMaker AI 統合で Amazon Bedrock Marketplace モデルエンドポイントの管理と使用を許可できます。このポリシーには、次のステートメントが含まれます。

  • BedrockMarketplaceAPIs ステートメントでは、Amazon Bedrock のすべてのリソースでマーケットプレイスモデルエンドポイントを作成、削除、登録、登録解除、更新できます。

  • MarketplaceModelEndpointMutatingAPIs ステートメントでは、指定されたリソースで SageMaker AI エンドポイント、エンドポイント設定、モデルを作成および管理できます。

    • aws:CalledViaLast 条件キーを使用して、これらのアクションが Bedrock を介して呼び出された場合にのみ実行されるようにします。

    • aws:ResourceTag/sagemaker-sdk:bedrock 条件キーを使用して、これらのアクションが Amazon Bedrock 互換としてタグ付けされたリソースでのみ実行されるようにします。

  • MarketplaceModelEndpointAddTagsOperations ステートメントでは、指定されたリソースの SageMaker AI エンドポイント、エンドポイント設定、モデルに特定のタグを追加できます。

    • aws:TagKeys 条件キーを使用して、追加できるタグを制限します。

    • aws:RequestTag/* 条件キーを使用して、タグ値が指定されたパターンと一致することを確認します。

  • MarketplaceModelEndpointDeleteTagsOperations ステートメントでは、指定されたリソースの SageMaker AI エンドポイント、エンドポイント設定、モデルから特定のタグを削除できます。

    • aws:TagKeys 条件キーを使用して、削除できるタグを制限します。

    • aws:ResourceTag/* 条件キーを使用して、削除されたタグが指定されたパターンと一致することを確認します。

  • MarketplaceModelEndpointNonMutatingAPIs ステートメントでは、指定されたリソースの SageMaker AI エンドポイント、エンドポイント設定、モデルを表示および記述できます。

    • aws:CalledViaLast 条件キーを使用して、アクションが Amazon Bedrock サービスを介してのみ実行されるようにします。

  • MarketplaceModelEndpointInvokingOperations ステートメントでは、指定されたリソースで SageMaker AI エンドポイントを呼び出すことができます。

    • aws:CalledViaLast 条件キーを使用して、アクションが Amazon Bedrock サービスを介してのみ実行されるようにします。

    • aws:ResourceTag/sagemaker-sdk:bedrock 条件キーを使用して、アクションが Bedrock 互換リソースでのみ実行されるようにします。

  • DiscoveringMarketplaceModel ステートメントでは、指定されたリソースで SageMaker AI ハブのコンテンツを記述できます。

  • AllowMarketplaceModelsListing ステートメントでは、指定されたリソースで SageMaker AI ハブのコンテンツを一覧表示できます。

  • PassRoleToSageMaker ステートメントでは、指定されたリソースで SageMaker AI と Amazon Bedrock に IAM ロールを渡すことができます。

    • iam:PassedToService 条件キーを使用して、指定されたサービスでのみロールが渡されるようにします。

  • PassRoleToBedrock ステートメントでは、指定されたリソースで特定の IAM ロールを Amazon Bedrock に渡すことができます。

    • iam:PassedToService 条件キーを使用して、Amazon Bedrock サービスでのみロールが渡されるようにします。

AWSマネージドポリシー: AmazonBedrockMantleFullAccess

AmazonBedrockMantleFullAccess ポリシーを IAM ID にアタッチして、すべての Amazon Bedrock Mantle オペレーションへのフルアクセスを許可できます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • bedrock-mantle (Amazon Bedrock Mantle) – Amazon Bedrock Mantle サービス内のすべてのアクションへのフルアクセスをプリンシパルに許可します。

AWSマネージドポリシー: AmazonBedrockMantleReadOnly

AmazonBedrockMantleReadOnly ポリシーを IAM ID にアタッチして、Amazon Bedrock Mantle リソースを表示し、ベアラートークンで を呼び出すための読み取り専用アクセス許可を付与できます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • bedrock-mantle (Amazon Bedrock Mantle) – プリンシパルが Amazon Bedrock Mantle プロジェクトリソースを取得して一覧表示し、ベアラートークンを使用して を呼び出して認証できるようにします。

AWSマネージドポリシー: AmazonBedrockMantleInferenceAccess

AmazonBedrockMantleInferenceAccess ポリシーを IAM アイデンティティにアタッチして、Amazon Bedrock Mantle モデルで推論を実行するアクセス許可を付与できます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • bedrock-mantle (Amazon Bedrock Mantle) – プリンシパルが Amazon Bedrock Mantle プロジェクトリソースを取得して一覧表示し、推論リクエストを作成し、ベアラートークンを使用して を呼び出して認証できるようにします。

Amazon Bedrock の AWSマネージドポリシーの更新

このサービスがこれらの変更の追跡を開始してからの Amazon Bedrock の AWSマネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動通知を受けるには、Amazon Bedrock ユーザーガイドのドキュメント履歴 の RSS フィードを購読してください。

変更 説明 日付

AmazonBedrockMantleFullAccess – 新しいポリシー

Amazon Bedrock は、すべての Amazon Bedrock マントルオペレーションへのフルアクセスを許可する新しいポリシーを追加しました。

 2025 年 12 月 3 日

AmazonBedrockMantleReadOnly – 新しいポリシー

Amazon Bedrock は、Amazon Bedrock Mantle リソースへの読み取り専用アクセスを許可する新しいポリシーを追加しました。

 2025 年 12 月 3 日

AmazonBedrockMantleInferenceAccess – 新しいポリシー

Amazon Bedrock は、Amazon Bedrock マントルモデルへの推論アクセスを許可する新しいポリシーを追加しました。

 2025 年 12 月 3 日

AmazonBedrockFullAccess – 更新されたポリシー

Amazon Bedrock は、AmazonBedrockFullAccess マネージドポリシーを更新して、デフォルトですべてのサーバーレス基盤モデルへのアクセスを有効にしました。

 2025 年 7 月 14 日

AmazonBedrockMarketplaceAccess – 新しいポリシー

Amazon Bedrock は、SageMaker AI エンドポイントを介して Amazon Bedrock Marketplace 基盤モデルにアクセスする許可を顧客に付与する新しいポリシーを追加しました。

 2025 年 6 月 13 日

AmazonBedrockLimitedAccess – 新しいポリシー

Amazon Bedrock は、Amazon Bedrock のコアアクションにアクセスするための基本的なアクセス許可を顧客に付与する新しいポリシーを追加しました。

 2025 年 6 月 13 日

AmazonBedrockFullAccess – 更新されたポリシー

Amazon Bedrock はAmazonBedrockFullAccess マネージドポリシーを更新し、Amazon Bedrock Marketplace リソースの作成、読み取り、更新、削除に必要なアクセス許可を顧客に付与しました。これには、Amazon Bedrock Marketplace 機能の基盤として機能する、Amazon SageMaker AI 基盤リソースを管理するアクセス許可が含まれます。

 2024 年 12 月 4 日

AmazonBedrockReadOnly – 更新したポリシー

Amazon Bedrock はAmazonBedrockReadOnly マネージドポリシーを更新して、Amazon Bedrock Marketplace リソースを読み取るために必要なアクセス許可を顧客に付与しました。これには、Amazon Bedrock Marketplace 機能の基盤として機能する、Amazon SageMaker AI 基盤リソースを管理するアクセス許可が含まれます。

 2024 年 12 月 4 日

AmazonBedrockReadOnly – 更新したポリシー

Amazon Bedrock は AmazonBedrockReadOnly ポリシーを更新し、カスタムモデルインポートの読み取り専用アクセス権限を追加しました。

 2024 年 10 月 18 日

AmazonBedrockReadOnly – 更新したポリシー

Amazon Bedrock は、推論プロファイルの読み取り専用アクセス権限を追加しました。

 2024 年 8 月 27 日

AmazonBedrockReadOnly – 更新したポリシー

Amazon Bedrock は、AmazonBedrockReadOnly ポリシーを更新し、Amazon Bedrock Guardrails、Amazon Bedrock モデル評価、Amazon Bedrock バッチ推論の読み取り専用アクセス権限を追加しました。

 2024 年 8 月 21 日

AmazonBedrockReadOnly – 更新したポリシー

Amazon Bedrock は、バッチ推論 (モデル呼び出しジョブ) の読み取り専用アクセス権限を追加しました。

 2024 年 8 月 21 日

AmazonBedrockReadOnly – 更新したポリシー

Amazon Bedrock は AmazonBedrockReadOnly ポリシーを更新し、Amazon Bedrock カスタムモデルインポートの読み取り専用アクセス権限を追加しました。

 2024 年 9 月 3 日

AmazonBedrockFullAccess – 新しいポリシー

Amazon Bedrock は、リソースの作成、読み取り、更新、および削除に対するアクセス許可をユーザーに付与する新しいポリシーを追加しました。

 2023 年 12 月 12 日

AmazonBedrockReadOnly – 新しいポリシー

Amazon Bedrock は、すべてのアクションに対する読み取り専用アクセス許可をユーザーに付与する新しいポリシーを追加しました。

 2023 年 12 月 12 日

Amazon Bedrock が変更の追跡を開始

Amazon Bedrock は、 AWS管理ポリシーの変更の追跡を開始しました。

 2023 年 12 月 12 日