As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conceder permissões do IAM para solicitar acesso a modelos de base do Amazon Bedrock
O acesso aos modelos básicos sem servidor do Amazon Bedrock é controlado pelas seguintes ações do IAM:
| Ação do IAM | Descrição | Aplica-se a quais modelos |
|---|---|---|
| alicerce: PutFoundationModelEntitlement | Permite que uma identidade do IAM solicite acesso aos modelos básicos sem servidor do Amazon Bedrock. | Todos os modelos sem servidor Amazon Bedrock |
| AWS Marketplace: inscreva-se |
Permite que uma entidade do IAM assine AWS Marketplace produtos, incluindo modelos da Amazon Bedrock Foundation. |
Somente modelos sem servidor Amazon Bedrock que têm uma ID de produto. AWS Marketplace |
| AWS-Marketplace: cancelar a assinatura | Permite que uma identidade do IAM cancele a assinatura de AWS Marketplace produtos, incluindo os modelos da Amazon Bedrock Foundation. | Somente modelos sem servidor Amazon Bedrock que têm uma ID de produto. AWS Marketplace |
| mercado da AWS: ViewSubscriptions | Permite que uma identidade do IAM retorne uma lista de AWS Marketplace produtos, incluindo modelos da Amazon Bedrock Foundation. | Somente modelos sem servidor Amazon Bedrock que têm uma ID de produto. AWS Marketplace |
nota
Somente para a ação aws-marketplace:Subscribe, é possível usar a chave de condição aws-marketplace:ProductId para restringir a assinatura a modelos específicos.
Para que uma identidade do IAM solicite acesso aos modelos
A identidade deve ter uma política anexada que permita as seguintes ações:
-
bedrock:PutFoundationModelEntitlement -
aws-marketplace:Subscribe(somente se o modelo tiver uma ID do produto)nota
Se uma identidade já tiver se inscrito em um modelo em uma AWS região, o modelo ficará disponível para que a identidade solicite acesso em todas as AWS regiões nas quais o modelo está disponível, mesmo que
aws-marketplace:Subscribeseja negado para outras regiões.Para impedir a assinatura de todos os modelos em regiões específicas, use a
bedrock:PutFoundationModelEntitlementação. Para obter um exemplo, consulte Impedir que uma identidade solicite acesso a modelos em regiões específicas.
Selecione uma seção para ver exemplos de políticas do IAM para um caso de uso específico:
Tópicos
Permitir que uma identidade solicite acesso a um modelo específico
Para que uma entidade do IAM solicite acesso a um modelo, ela deve ter, no mínimo, as seguintes permissões:
-
bedrock:PutFoundationModelEntitlement— OResourcecampo deve ser*. -
(Se o modelo tiver uma ID do produto)
aws-marketplace:Subscribe— OResourcecampo deve ser*. Você pode usar a chave deaws-marketplace:ProductIdcondição para definir o escopo da assinatura de modelos específicos.
nota
Depois que uma identidade do IAM já solicitou acesso a um modelo em uma AWS região, ela só precisa de permissões para que a bedrock:PutFoundationModelEntitlement ação solicite acesso ao modelo em outras regiões. A aws-marketplace:Subscribe ação não é mais necessária.
Por exemplo, você pode anexar a seguinte política a uma identidade para permitir que ela assine o Anthropic Claude 3.5 Sonnet modelo pela primeira vez:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:Subscribe" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws-marketplace:ProductId": [ "prod-m5ilt4siql27k" ] } } }, { "Effect": "Allow", "Action": [ "bedrock:PutFoundationModelEntitlement" ], "Resource": "*" } ] }
nota
Essa política é escalável, pois você pode adicionar acesso incremental aos modelos com a chave de condição do ID do produto, conforme necessário.
Para modelos que não têm uma ID de produto, como, por exemploAmazon Nova Micro, ou se o modelo já tiver sido inscrito em uma região, basta uma política com apenas a seguinte declaração:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:PutFoundationModelEntitlement" ], "Resource": "*" } ] }
Impedir que uma identidade solicite acesso a um modelo com uma ID do produto
Para evitar que uma entidade do IAM solicite acesso a um modelo específico que tenha um ID do produto, anexe uma política do IAM ao usuário que nega a aws-marketplace:Subscribe ação e defina o escopo do Condition campo para o ID do produto do modelo.
Por exemplo, você pode anexar a seguinte política a uma identidade para impedir que ela assine o Anthropic Claude 3.5 Sonnet modelo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-marketplace:Subscribe" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws-marketplace:ProductId": [ "prod-m5ilt4siql27k" ] } } } ] }
nota
Com essa política, a entidade do IAM terá acesso a todos os modelos recém-adicionados por padrão.
Se a identidade já tiver se inscrito no modelo em pelo menos uma região, essa política não impede o acesso em outras regiões. Em vez disso, você pode tentar um dos seguintes exemplos:
-
Para evitar completamente a assinatura de modelos em outras regiões, consulte o exemplo em Impedir que uma identidade solicite acesso a modelos em regiões específicas.
-
Para evitar o uso de um modelo, consulte o exemplo em Impedir que uma identidade use um modelo após o acesso já ter sido concedido.
Impedir que uma identidade solicite acesso a modelos em regiões específicas
Se uma identidade do IAM já solicitou acesso a um modelo em uma região, você pode controlar o acesso à assinatura do modelo em outras regiões incluindo a bedrock:PutFoundationModelEntitlement ação em uma declaração e usando a chave de aws:RequestedRegion condição global.
Por exemplo, você pode anexar a política a seguir a uma identidade do IAM para permitir que ela solicite acesso somente a modelos nas regiões dos EUA:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:PutFoundationModelEntitlement" ], "Resource": "*", "Condition": { "StringLike": { "aws:RequestedRegion": "us-*" } } } ] }
nota
bedrock:PutFoundationModelEntitlementnão abrange modelos específicos, então você não pode controlar o acesso de uma identidade a modelos específicos se eles não tiverem uma ID de produto ou se a identidade já tiver acesso ao modelo em outra região. Em vez disso, você pode controlar o uso do modelo seguindo o exemplo em Impedir que uma identidade use um modelo após o acesso já ter sido concedido.
Impedir que uma identidade use um modelo após o acesso já ter sido concedido
Se uma identidade do IAM já tiver recebido acesso a um modelo, você pode impedir o uso do modelo negando todas as ações do Amazon Bedrock e definindo o escopo do Resource campo para o ARN do modelo básico.
Por exemplo, você pode anexar a seguinte política a uma identidade para evitar que ela use o Anthropic Claude 3.5 Sonnet modelo em todas as AWS regiões:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "bedrock:*" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0" ] } ] }
