As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS políticas gerenciadas para o Amazon Bedrock
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS.
Para obter uma lista de políticas AWS gerenciadas, consulte políticas AWS gerenciadas na referência de políticas AWS gerenciadas. Para obter mais informações sobre políticas AWS gerenciadas, consulte políticas AWS gerenciadas no Guia do usuário do IAM.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte Políticas gerenciadas pela AWS para perfis de trabalho no Guia do usuário do IAM.
Tópicos
AWS política gerenciada: AmazonBedrockFullAccess
Você pode anexar a AmazonBedrockFullAccesspolítica às suas identidades do IAM para conceder permissões administrativas que permitam ao usuário criar, ler, atualizar e excluir recursos do Amazon Bedrock.
nota
O ajuste e o acesso a modelos exigem permissões adicionais. Consulte Permitir acesso a assinaturas de modelo de terceiros e Permissões para acessar arquivos de treinamento e de validação e gravar os arquivos de saída no S3 para obter mais informações.
Detalhes de permissões
Esta política inclui as seguintes permissões:
-
ec2
(Amazon Elastic Compute Cloud) — Permite permissões para descrever VPCs, sub-redes e grupos de segurança. -
iam
(AWS Identity and Access Management) — Permite que diretores passem funções, mas só permite que funções do IAM com “Amazon Bedrock” sejam passadas para o serviço Amazon Bedrock. As permissões são restritas abedrock.amazonaws.com
para operações do Amazon Bedrock. -
kms
(Serviço de gerenciamento de AWS chaves) — Permite que os diretores descrevam AWS KMS chaves e aliases. -
bedrock
(Amazon Bedrock): permite que as entidades principais tenham acesso de leitura e gravação a todas as ações no ambiente de gerenciamento e no serviço de runtime do Amazon Bedrock. -
sagemaker
(Amazon SageMaker AI) — Permite que os diretores acessem os recursos de SageMaker IA da Amazon na conta do cliente, que serve como base para o recurso Amazon Bedrock Marketplace.
AWS política gerenciada: AmazonBedrockReadOnly
Você pode anexar a AmazonBedrockReadOnlypolítica às suas identidades do IAM para conceder permissões somente de leitura para visualizar todos os recursos no Amazon Bedrock.
AWS política gerenciada: AmazonBedrockLimitedAccess
Você pode anexar a AmazonBedrockLimitedAccesspolítica às suas identidades do IAM para permitir que ela acesse os serviços do Amazon Bedrock, gerenciamento de AWS KMS chaves, recursos de rede e assinaturas do AWS Marketplace para modelos de fundação de terceiros. A política inclui as seguintes declarações:
-
A
BedrockAPIs
declaração permite que você execute várias operações no Amazon Bedrock, incluindo:Passar a chave de API do Amazon Bedrock ao fazer solicitações de API para o serviço Amazon Bedrock.
Descrever informações sobre recursos.
Criação de recursos (grades de proteção, modelos, empregos).
Excluindo recursos.
Invocando modelos em todos os recursos.
-
O
DescribeKey
extrato permite que você visualize informações sobre as chaves KMS em todas as regiões e contas, desde que as políticas das chaves permitam que você faça isso. -
A
APIsWithAllResourceAccess
declaração permite que você:Listagem dos perfis do IAM.
Descreva os recursos da Amazon VPC (VPCs, sub-redes e grupos de segurança) em todos os recursos.
-
A
MarketplaceOperationsFromBedrockFor3pModels
declaração permite que você:Assine as AWS Marketplace ofertas.
Veja as assinaturas.
Cancele a assinatura das AWS Marketplace ofertas.
nota
A chave de condição
aws:CalledViaLast
restringe essas ações somente quando elas são chamadas por meio do serviço Amazon Bedrock.
AWS política gerenciada: AmazonBedrockMarketplaceAccess
Você pode anexar a AmazonBedrockMarketplaceAccesspolítica às suas identidades do IAM para permitir que ela gerencie e use endpoints do modelo de mercado Amazon Bedrock com SageMaker integração de IA. A política inclui as seguintes declarações:
-
A
BedrockMarketplaceAPIs
declaração permite que você crie, exclua, registre, cancele o registro e atualize os endpoints do modelo de marketplace no Amazon Bedrock em todos os recursos. -
A
MarketplaceModelEndpointMutatingAPIs
declaração permite que você crie e gerencie endpoints de SageMaker IA, configurações de endpoints e modelos em recursos específicos.-
Use a chave de
aws:CalledViaLast
condição para garantir que essas ações sejam executadas somente quando chamadas por meio do Bedrock. -
Use a chave de
aws:ResourceTag/sagemaker-sdk:bedrock
condição para garantir que essas ações sejam executadas somente em recursos marcados como compatíveis com o Amazon Bedrock.
-
-
A
MarketplaceModelEndpointAddTagsOperations
declaração permite adicionar tags específicas a endpoints de SageMaker IA, configurações de endpoints e modelos em recursos específicos.-
Use a chave de
aws:TagKeys
condição para restringir quais tags podem ser adicionadas -
Use a chave de
aws:RequestTag/*
condição para garantir que os valores das tags correspondam aos padrões especificados
-
-
A
MarketplaceModelEndpointDeleteTagsOperations
declaração permite excluir tags específicas de endpoints de SageMaker IA, configurações de endpoints e modelos em recursos específicos.-
Use a chave de
aws:TagKeys
condição para restringir quais tags podem ser excluídas -
Use a chave de
aws:ResourceTag/*
condição para garantir que as tags excluídas correspondam aos padrões especificados
-
-
A
MarketplaceModelEndpointNonMutatingAPIs
declaração permite visualizar e descrever endpoints de SageMaker IA, configurações de endpoints e modelos em recursos específicos.-
Use a chave de
aws:CalledViaLast
condição para garantir que as ações sejam executadas somente por meio do serviço Amazon Bedrock
-
-
A
MarketplaceModelEndpointInvokingOperations
declaração permite invocar endpoints de SageMaker IA em recursos especificados.-
Use a chave de
aws:CalledViaLast
condição para garantir que as ações sejam realizadas somente por meio do serviço Amazon Bedrock -
Use a chave de
aws:ResourceTag/sagemaker-sdk:bedrock
condição para garantir que as ações sejam executadas somente em recursos compatíveis com o Bedrock
-
-
A
DiscoveringMarketplaceModel
declaração permite descrever o conteúdo do hub de SageMaker IA em recursos específicos. -
A
AllowMarketplaceModelsListing
declaração permite listar o conteúdo do hub de SageMaker IA em recursos específicos. -
A
PassRoleToSageMaker
declaração permite passar funções do IAM para a SageMaker AI e o Amazon Bedrock em recursos específicos.-
Use a chave de
iam:PassedToService
condição para garantir que as funções sejam passadas somente para serviços especificados.
-
-
A
PassRoleToBedrock
declaração permite que você passe funções específicas do IAM para o Amazon Bedrock em recursos específicos.-
Use a chave de
iam:PassedToService
condição para garantir que as funções sejam passadas somente para o serviço Amazon Bedrock.
-
Atualizações do Amazon Bedrock para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Bedrock desde que esse serviço começou a monitorar essas mudanças. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed de RSS em Histórico de documentos do Guia do usuário do Amazon Bedrock.
Alteração | Descrição | Data |
---|---|---|
AmazonBedrockMarketplaceAccess – Nova política |
O Amazon Bedrock adicionou uma nova política para conceder aos clientes permissões para acessar os modelos básicos do Amazon Bedrock Marketplace por meio de um endpoint de SageMaker IA. |
13 de junho de 2025 |
AmazonBedrockLimitedAccess – Nova política |
O Amazon Bedrock adicionou uma nova política para conceder aos clientes permissões básicas para acessar as principais ações no Amazon Bedrock. |
13 de junho de 2025 |
AmazonBedrockFullAccess: política atualizada |
O Amazon Bedrock atualizou a política AmazonBedrockFullAccess gerenciada para conceder aos clientes as permissões necessárias para criar, ler, atualizar e excluir recursos do Amazon Bedrock Marketplace. Isso inclui permissões para gerenciar os recursos subjacentes de SageMaker IA da Amazon, pois eles servem como base para a funcionalidade do Amazon Bedrock Marketplace. |
4 de dezembro de 2024 |
AmazonBedrockReadOnly: política atualizada |
O Amazon Bedrock atualizou a política AmazonBedrockReadOnly gerenciada para conceder aos clientes as permissões necessárias para ler os recursos do Amazon Bedrock Marketplace. Isso inclui permissões para gerenciar os recursos subjacentes de SageMaker IA da Amazon, pois eles servem como base para a funcionalidade do Amazon Bedrock Marketplace. |
4 de dezembro de 2024 |
AmazonBedrockReadOnly: política atualizada |
O Amazon Bedrock atualizou a AmazonBedrockReadOnly política para incluir permissões somente de leitura para importação de modelos personalizados. |
18 de outubro de 2024 |
AmazonBedrockReadOnly: política atualizada |
O Amazon Bedrock adicionou permissões somente leitura ao perfil de inferência. |
27 de agosto de 2024 |
AmazonBedrockReadOnly: política atualizada |
O Amazon Bedrock atualizou a AmazonBedrockReadOnly política para incluir permissões somente de leitura para o Amazon Bedrock Guardrails, a avaliação do Amazon Bedrock Model e a inferência do Amazon Bedrock Batch. |
21 de agosto de 2024 |
AmazonBedrockReadOnly: política atualizada |
O Amazon Bedrock adicionou permissões somente leitura de inferência em lote (trabalho de invocação de modelo). |
21 de agosto de 2024 |
AmazonBedrockReadOnly: política atualizada |
O Amazon Bedrock atualizou a AmazonBedrockReadOnly política para incluir permissões somente de leitura para o Amazon Bedrock Custom Model Import. |
3 de setembro de 2024 |
AmazonBedrockFullAccess – Nova política |
O Amazon Bedrock adicionou uma nova política para conceder aos usuários permissões para criar, ler, atualizar e excluir recursos. |
12 de dezembro de 2023 |
AmazonBedrockReadOnly – Nova política |
O Amazon Bedrock adicionou uma nova política para conceder aos usuários permissões somente leitura para todas as ações. |
12 de dezembro de 2023 |
O Amazon Bedrock passou a controlar alterações |
O Amazon Bedrock começou a monitorar as mudanças em suas políticas AWS gerenciadas. |
12 de dezembro de 2023 |