Politicas gerenciadas pela AWS para o Amazon Bedrock - Amazon Bedrock
AmazonBedrockFullAccessAmazonBedrockReadOnlyAmazonBedrockLimitedAccessAmazonBedrockMarketplaceAccessAtualizações da política

Politicas gerenciadas pela AWS para o Amazon Bedrock

Para adicionar permissões a usuários, grupos e perfis, é mais fácil usar políticas gerenciadas pela AWS do que escrevê-la por conta própria. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas gerenciadas pela AWS. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS.

Para ver uma lista de políticas gerenciadas pela AWS, consulte Políticas gerenciadas pela AWS na referência de políticas gerenciadas pela AWS. Para obter mais informações sobre as políticas gerenciadas da AWS, consulte Políticas gerenciadas da AWS no Guia do usuário do IAM.

Os serviços da AWS mantêm e atualizam políticas gerenciadas pela AWS. Não é possível alterar as permissões em políticas gerenciadas pela AWS. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem permissões de uma política gerenciada pela AWS, portanto, as atualizações de políticas não suspendem suas permissões existentes.

Além disso, a AWS é compatível com políticas gerenciadas por perfis de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess política gerenciada pela AWS fornece acesso somente leitura a todos os serviços e recursos da AWS. Quando um serviço executa um novo atributo, a AWS adiciona permissões somente leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte Políticas gerenciadas pela AWS para perfis de trabalho no Guia do usuário do IAM.

Política gerenciada pela AWS: AmazonBedrockFullAccess

Você pode adicionar a política AmazonBedrockFullAccess às suas identidades do IAM para conceder permissões administrativas que dão ao usuário permissão para criar, ler, atualizar e excluir recursos do Amazon Bedrock.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • ec2 (Amazon Elastic Compute Cloud): concede permissões para descrever VPCs, sub-redes e grupos de segurança.

  • iam (AWS Identity and Access Management): permite que as entidades principais enviem perfis, mas permite que só os perfis do IAM que contenham “Amazon Bedrock” sejam enviados ao serviço Amazon Bedrock. As permissões são restritas a bedrock.amazonaws.com para operações do Amazon Bedrock.

  • kms (AWS Key Management Service): permite que as entidades principais descrevam chaves e aliases do AWS KMS.

  • bedrock (Amazon Bedrock): permite que as entidades principais tenham acesso de leitura e gravação a todas as ações no ambiente de gerenciamento e no serviço de runtime do Amazon Bedrock.

  • sagemaker (Amazon SageMaker AI): permite que as entidades principais acessem os recursos de IA do Amazon SageMaker AI na conta do cliente, que serve como base para o recurso Amazon Bedrock Marketplace.

JSON
{
     "Version":"2012-10-17",		 	 	 		 	 	 
     "Statement": [
         {
             "Sid": "BedrockAll",
             "Effect": "Allow",
             "Action": [
                 "bedrock:*"
             ],
             "Resource": "*"
         },
         {
             "Sid": "DescribeKey",
             "Effect": "Allow",
             "Action": [
                 "kms:DescribeKey"
             ],
             "Resource": "arn:*:kms:*:::*"
         },
         {
             "Sid": "APIsWithAllResourceAccess",
             "Effect": "Allow",
             "Action": [
                 "iam:ListRoles",
                 "ec2:DescribeVpcs",
                 "ec2:DescribeSubnets",
                 "ec2:DescribeSecurityGroups"
             ],
             "Resource": "*"
         },
         {
             "Sid": "MarketplaceModelEndpointMutatingAPIs",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:CreateEndpoint",
                 "sagemaker:CreateEndpointConfig",
                 "sagemaker:CreateModel",
                 "sagemaker:DeleteEndpoint",
                 "sagemaker:UpdateEndpoint"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com",
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointAddTagsOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:AddTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "ForAllValues:StringEquals": {
                     "aws:TagKeys": [
                         "sagemaker-sdk:bedrock",
                         "bedrock:marketplace-registration-status",
                         "sagemaker-studio:hub-content-arn"
                     ]
                 },
                 "StringLike": {
                     "aws:RequestTag/sagemaker-sdk:bedrock": "compatible",
                     "aws:RequestTag/bedrock:marketplace-registration-status": "registered",
                     "aws:RequestTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointDeleteTagsOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DeleteTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "ForAllValues:StringEquals": {
                     "aws:TagKeys": [
                         "sagemaker-sdk:bedrock",
                         "bedrock:marketplace-registration-status",
                         "sagemaker-studio:hub-content-arn"
                     ]
                 },
                 "StringLike": {
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible",
                     "aws:ResourceTag/bedrock:marketplace-registration-status": "registered",
                     "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointNonMutatingAPIs",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DescribeEndpoint",
                 "sagemaker:DescribeEndpointConfig",
                 "sagemaker:DescribeModel",
                 "sagemaker:DescribeInferenceComponent",
                 "sagemaker:ListEndpoints",
                 "sagemaker:ListTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointInvokingOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:InvokeEndpoint",
                 "sagemaker:InvokeEndpointWithResponseStream"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com",
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
                 }
             }
         },
         {
             "Sid": "DiscoveringMarketplaceModel",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DescribeHubContent"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*",
                 "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
             ]
         },
         {
             "Sid": "AllowMarketplaceModelsListing",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:ListHubContents"
             ],
             "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
         },
         {
             "Sid": "PassRoleToSageMaker",
             "Effect": "Allow",
             "Action": [
                 "iam:PassRole"
             ],
             "Resource": [
                 "arn:aws:iam::*:role/*SageMaker*ForBedrock*"
             ],
             "Condition": {
                 "StringEquals": {
                     "iam:PassedToService": [
                         "sagemaker.amazonaws.com",
                         "bedrock.amazonaws.com"
                     ]
                 }
             }
         },
         {
             "Sid": "PassRoleToBedrock",
             "Effect": "Allow",
             "Action": [
                 "iam:PassRole"
             ],
             "Resource": "arn:aws:iam::*:role/*AmazonBedrock*",
             "Condition": {
                 "StringEquals": {
                     "iam:PassedToService": [
                         "bedrock.amazonaws.com"
                     ]
                 }
             }
         },
         {
             "Sid": "MarketplaceOperationsFromBedrockFor3pModels",
             "Effect": "Allow",
             "Action": [
                 "aws-marketplace:Subscribe",
                 "aws-marketplace:ViewSubscriptions",
                 "aws-marketplace:Unsubscribe"
             ],
             "Resource": "*",
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com"
                 }
             }
         }
     ]
 }

Política gerenciada pela AWS: AmazonBedrockReadOnly

É possível anexar a política AmazonBedrockReadOnly às suas identidades do IAM para conceder permissões somente leitura para visualizar todos os recursos no Amazon Bedrock.

Política gerenciada pela AWS: AmazonBedrockLimitedAccess

Você pode anexar a política AmazonBedrockLimitedAccess às suas identidades do IAM para permitir que ela acesse os serviços do Amazon Bedrock, o gerenciamento de chaves do AWS KMS, recursos de rede e assinaturas do AWS Marketplace para modelos de base de terceiros. A política inclui as seguintes declarações:

  • A declaração BedrockAPIs permite que você execute várias operações no Amazon Bedrock, como:

    • Transmitir a chave de API do Amazon Bedrock ao fazer solicitações de API ao serviço Amazon Bedrock.

    • Descrever informações sobre recursos.

    • Criar recursos (barreiras de proteção, modelos e trabalhos).

    • Criar e refinar políticas de raciocínio automatizado (criar, compilar, refinar e testar políticas).

    • Excluir recursos.

    • Invocar modelos em todos os recursos.

  • A declaração DescribeKey permite visualizar informações sobre as chaves do KMS em todas as regiões e contas, desde que as políticas de chave permitam que você faça isso.

  • A declaração APIsWithAllResourceAccess permite que você:

    • Liste perfis do IAM.

    • Descreva recursos da Amazon VPC (VPCs, sub-redes e grupos de segurança) em todos os recursos.

  • A declaração MarketplaceOperationsFromBedrockFor3pModels permite que você:

    • Assine ofertas do AWS Marketplace.

    • Visualize assinaturas.

    • Cancele a assinatura de ofertas do AWS Marketplace.

    nota

    A chave de condição aws:CalledViaLast restringe essas ações somente quando elas são chamadas por meio do serviço Amazon Bedrock.

Política gerenciada pela AWS: AmazonBedrockMarketplaceAccess

Você pode anexar a política AmazonBedrockMarketplaceAccess às suas identidades do IAM para permitir que ela gerencie e use endpoints do modelo do Amazon Bedrock Marketplace com a integração do SageMaker AI. A política inclui as seguintes declarações:

  • A declaração BedrockMarketplaceAPIs permite que você crie, exclua, registre, cancele o registro e atualize endpoints do modelo do Marketplace no Amazon Bedrock em todos os recursos.

  • A declaração MarketplaceModelEndpointMutatingAPIs permite criar e gerenciar endpoints, configurações do endpoints e modelos do SageMaker AI em recursos específicos.

    • Use a chave de condição aws:CalledViaLast para garantir que essas ações sejam executadas somente quando chamadas por meio do Bedrock.

    • Use a chave de condição aws:ResourceTag/sagemaker-sdk:bedrock para garantir que essas ações sejam executadas somente em recursos marcados como compatíveis com o Amazon Bedrock.

  • A declaração MarketplaceModelEndpointAddTagsOperations permite adicionar tags específicas aos endpoints, configurações de endpoint e modelos do SageMaker AI em recursos específicos.

    • Use a chave de condição aws:TagKeys para restringir quais tags podem ser adicionadas.

    • Use a chave de condição aws:RequestTag/* para garantir que os valores das tags correspondam aos padrões especificados.

  • A declaração MarketplaceModelEndpointDeleteTagsOperations permite excluir tags específicas aos endpoints, configurações de endpoint e modelos do SageMaker AI em recursos específicos.

    • Use a chave de condição aws:TagKeys para restringir quais tags podem ser excluídas.

    • Use a chave de condição aws:ResourceTag/* para garantir que as tags excluídas correspondam aos padrões especificados.

  • A MarketplaceModelEndpointNonMutatingAPIs declaração permite visualizar e descrever endpoints, configurações de endpoint e modelos do SageMaker AI em recursos específicos.

    • Use a chave de condição aws:CalledViaLast para garantir que as ações sejam realizadas somente por meio do serviço Amazon Bedrock

  • A declaração MarketplaceModelEndpointInvokingOperations permite invocar endpoints do SageMaker AI em recursos especificados.

    • Use a chave de condição aws:CalledViaLast para garantir que as ações sejam realizadas somente por meio do serviço Amazon Bedrock

    • Use a chave de condição aws:ResourceTag/sagemaker-sdk:bedrock para garantir que as ações sejam realizadas somente em recursos compatíveis com o Bedrock

  • A declaração DiscoveringMarketplaceModel permite descrever o conteúdo do hub do SageMaker AI em recursos específicos.

  • A declaração AllowMarketplaceModelsListing permite listar o conteúdo do hub do SageMaker AI em recursos específicos.

  • A declaração PassRoleToSageMaker permite transmitir perfis do IAM ao SageMaker AI e ao Amazon Bedrock em recursos específicos.

    • Use a chave de condição iam:PassedToService para garantir que os perfis sejam transmitidos somente aos serviços especificados.

  • A declaração PassRoleToBedrock permite que você transmita perfis específicos do IAM ao Amazon Bedrock em recursos específicos.

    • Use a chave de condição iam:PassedToService para garantir que os perfis sejam transmitidos somente ao serviço Amazon Bedrock.

Atualizações do Amazon Bedrock de políticas gerenciadas pela AWS

Visualize detalhes sobre as atualizações das políticas gerenciadas pela AWS para o Amazon Bedrock desde que esse serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed de RSS em Histórico de documentos do Guia do usuário do Amazon Bedrock.

Alteração Descrição Data

AmazonBedrockFullAccess: política atualizada

O Amazon Bedrock atualizou a política gerenciada AmazonBedrockFullAccess para permitir o acesso a todos os modelos de base sem servidor por padrão.

 14 de julho de 2025

AmazonBedrockMarketplaceAccess: nova política

O Amazon Bedrock adicionou uma nova política para conceder aos clientes permissões para acessar os modelos de base do Amazon Bedrock Marketplace por meio de um endpoint do SageMaker AI.

 13 de junho de 2025

AmazonBedrockLimitedAccess: nova política

O Amazon Bedrock adicionou uma nova política para conceder aos clientes permissões básicas para acessar ações essenciais no Amazon Bedrock.

 13 de junho de 2025

AmazonBedrockFullAccess: política atualizada

O Amazon Bedrock atualizou a política gerenciada AmazonBedrockFullAccess do Amazon Bedrock para conceder aos clientes as permissões necessárias para criar, ler, atualizar e excluir recursos do Amazon Bedrock Marketplace. Isso inclui permissões para gerenciar os recursos subjacentes de IA do Amazon SageMaker AI, pois eles servem como base para a funcionalidade do Amazon Bedrock Marketplace.

 4 de dezembro de 2024

AmazonBedrockReadOnly: política atualizada

O Amazon Bedrock atualizou a política gerenciada AmazonBedrockReadOnly do Amazon Bedrock para conceder aos clientes as permissões necessárias para ler recursos do Amazon Bedrock Marketplace. Isso inclui permissões para gerenciar os recursos subjacentes de IA do Amazon SageMaker AI, pois eles servem como base para a funcionalidade do Amazon Bedrock Marketplace.

 4 de dezembro de 2024

AmazonBedrockReadOnly: política atualizada

O Amazon Bedrock atualizou a política AmazonBedrockReadOnly para incluir permissões somente de leitura para importação de modelos personalizados.

 18 de outubro de 2024

AmazonBedrockReadOnly: política atualizada

O Amazon Bedrock adicionou permissões somente leitura ao perfil de inferência.

 27 de agosto de 2024

AmazonBedrockReadOnly: política atualizada

O Amazon Bedrock atualizou a política AmazonBedrockReadOnly para incluir permissões somente leitura nas barreiras de proteção, na avaliação de modelo e na inferência em lote do Amazon Bedrock.

 21 de agosto de 2024

AmazonBedrockReadOnly: política atualizada

O Amazon Bedrock adicionou permissões somente leitura de inferência em lote (trabalho de invocação de modelo).

 21 de agosto de 2024

AmazonBedrockReadOnly: política atualizada

O Amazon Bedrock atualizou a política AmazonBedrockReadOnly para incluir permissões somente leitura para o recurso Importar modelo personalizado do Amazon Bedrock.

 3 de setembro de 2024

AmazonBedrockFullAccess: política nova

O Amazon Bedrock adicionou uma nova política para conceder aos usuários permissões para criar, ler, atualizar e excluir recursos.

 12 de dezembro de 2023

AmazonBedrockReadOnly: política nova

O Amazon Bedrock adicionou uma nova política para conceder aos usuários permissões somente leitura para todas as ações.

 12 de dezembro de 2023

O Amazon Bedrock passou a controlar alterações

O Amazon Bedrock passou a controlar as alterações para as políticas gerenciadas pela AWS.

 12 de dezembro de 2023