AWS políticas gerenciadas para o Amazon Bedrock - Amazon Bedrock
AmazonBedrockFullAccessAmazonBedrockReadOnlyAmazonBedrockLimitedAccessAmazonBedrockMarketplaceAccessAmazonBedrockMantleFullAccessAmazonBedrockMantleReadOnlyAmazonBedrockMantleInferenceAccessAtualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para o Amazon Bedrock

Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS.

Para obter uma lista de políticas AWS gerenciadas, consulte políticas AWS gerenciadas na referência de políticas AWS gerenciadas. Para obter mais informações sobre políticas AWS gerenciadas, consulte políticas AWS gerenciadas no Guia do usuário do IAM.

AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.

Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte Políticas gerenciadas pela AWS para perfis de trabalho no Guia do usuário do IAM.

AWS política gerenciada: AmazonBedrockFullAccess

Você pode anexar a AmazonBedrockFullAccesspolítica às suas identidades do IAM para conceder permissões administrativas que permitam ao usuário criar, ler, atualizar e excluir recursos do Amazon Bedrock.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • ec2(Amazon Elastic Compute Cloud) — Permite permissões para descrever VPCs, sub-redes e grupos de segurança.

  • iam(AWS Identity and Access Management) — Permite que diretores passem funções, mas só permite que funções do IAM com “Amazon Bedrock” sejam passadas para o serviço Amazon Bedrock. As permissões são restritas a bedrock.amazonaws.com para operações do Amazon Bedrock.

  • kms(Serviço de gerenciamento de AWS chaves) — Permite que os diretores descrevam AWS KMS chaves e aliases.

  • bedrock (Amazon Bedrock): permite que as entidades principais tenham acesso de leitura e gravação a todas as ações no ambiente de gerenciamento e no serviço de runtime do Amazon Bedrock.

  • sagemaker(Amazon SageMaker AI) — Permite que os diretores acessem os recursos de SageMaker IA da Amazon na conta do cliente, que serve como base para o recurso Amazon Bedrock Marketplace.

JSON
{
     "Version":"2012-10-17",		 	 	 
     "Statement": [
         {
             "Sid": "BedrockAll",
             "Effect": "Allow",
             "Action": [
                 "bedrock:*"
             ],
             "Resource": "*"
         },
         {
             "Sid": "DescribeKey",
             "Effect": "Allow",
             "Action": [
                 "kms:DescribeKey"
             ],
             "Resource": "arn:*:kms:*:::*"
         },
         {
             "Sid": "APIsWithAllResourceAccess",
             "Effect": "Allow",
             "Action": [
                 "iam:ListRoles",
                 "ec2:DescribeVpcs",
                 "ec2:DescribeSubnets",
                 "ec2:DescribeSecurityGroups"
             ],
             "Resource": "*"
         },
         {
             "Sid": "MarketplaceModelEndpointMutatingAPIs",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:CreateEndpoint",
                 "sagemaker:CreateEndpointConfig",
                 "sagemaker:CreateModel",
                 "sagemaker:DeleteEndpoint",
                 "sagemaker:UpdateEndpoint"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com",
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointAddTagsOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:AddTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "ForAllValues:StringEquals": {
                     "aws:TagKeys": [
                         "sagemaker-sdk:bedrock",
                         "bedrock:marketplace-registration-status",
                         "sagemaker-studio:hub-content-arn"
                     ]
                 },
                 "StringLike": {
                     "aws:RequestTag/sagemaker-sdk:bedrock": "compatible",
                     "aws:RequestTag/bedrock:marketplace-registration-status": "registered",
                     "aws:RequestTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointDeleteTagsOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DeleteTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "ForAllValues:StringEquals": {
                     "aws:TagKeys": [
                         "sagemaker-sdk:bedrock",
                         "bedrock:marketplace-registration-status",
                         "sagemaker-studio:hub-content-arn"
                     ]
                 },
                 "StringLike": {
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible",
                     "aws:ResourceTag/bedrock:marketplace-registration-status": "registered",
                     "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointNonMutatingAPIs",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DescribeEndpoint",
                 "sagemaker:DescribeEndpointConfig",
                 "sagemaker:DescribeModel",
                 "sagemaker:DescribeInferenceComponent",
                 "sagemaker:ListEndpoints",
                 "sagemaker:ListTags"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*",
                 "arn:aws:sagemaker:*:*:endpoint-config/*",
                 "arn:aws:sagemaker:*:*:model/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com"
                 }
             }
         },
         {
             "Sid": "MarketplaceModelEndpointInvokingOperations",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:InvokeEndpoint",
                 "sagemaker:InvokeEndpointWithResponseStream"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:*:endpoint/*"
             ],
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com",
                     "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
                 }
             }
         },
         {
             "Sid": "DiscoveringMarketplaceModel",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:DescribeHubContent"
             ],
             "Resource": [
                 "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*",
                 "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
             ]
         },
         {
             "Sid": "AllowMarketplaceModelsListing",
             "Effect": "Allow",
             "Action": [
                 "sagemaker:ListHubContents"
             ],
             "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
         },
         {
             "Sid": "PassRoleToSageMaker",
             "Effect": "Allow",
             "Action": [
                 "iam:PassRole"
             ],
             "Resource": [
                 "arn:aws:iam::*:role/*SageMaker*ForBedrock*"
             ],
             "Condition": {
                 "StringEquals": {
                     "iam:PassedToService": [
                         "sagemaker.amazonaws.com",
                         "bedrock.amazonaws.com"
                     ]
                 }
             }
         },
         {
             "Sid": "PassRoleToBedrock",
             "Effect": "Allow",
             "Action": [
                 "iam:PassRole"
             ],
             "Resource": "arn:aws:iam::*:role/*AmazonBedrock*",
             "Condition": {
                 "StringEquals": {
                     "iam:PassedToService": [
                         "bedrock.amazonaws.com"
                     ]
                 }
             }
         },
         {
             "Sid": "MarketplaceOperationsFromBedrockFor3pModels",
             "Effect": "Allow",
             "Action": [
                 "aws-marketplace:Subscribe",
                 "aws-marketplace:ViewSubscriptions",
                 "aws-marketplace:Unsubscribe"
             ],
             "Resource": "*",
             "Condition": {
                 "StringEquals": {
                     "aws:CalledViaLast": "bedrock.amazonaws.com"
                 }
             }
         }
     ]
 }

AWS política gerenciada: AmazonBedrockReadOnly

Você pode anexar a AmazonBedrockReadOnlypolítica às suas identidades do IAM para conceder permissões somente de leitura para visualizar todos os recursos no Amazon Bedrock.

AWS política gerenciada: AmazonBedrockLimitedAccess

Você pode anexar a AmazonBedrockLimitedAccesspolítica às suas identidades do IAM para permitir que ela acesse os serviços do Amazon Bedrock, gerenciamento de AWS KMS chaves, recursos de rede e assinaturas do AWS Marketplace para modelos de fundação de terceiros. A política inclui as seguintes declarações:

  • A declaração BedrockAPIs permite que você execute várias operações no Amazon Bedrock, como:

    • Transmitir a chave de API do Amazon Bedrock ao fazer solicitações de API ao serviço Amazon Bedrock.

    • Descrever informações sobre recursos.

    • Criar recursos (barreiras de proteção, modelos e trabalhos).

    • Criar e refinar políticas de raciocínio automatizado (criar, compilar, refinar e testar políticas).

    • Excluir recursos.

    • Invocar modelos em todos os recursos.

  • A declaração DescribeKey permite visualizar informações sobre as chaves do KMS em todas as regiões e contas, desde que as políticas de chave permitam que você faça isso.

  • A declaração APIsWithAllResourceAccess permite que você:

    • Liste perfis do IAM.

    • Descreva os recursos da Amazon VPC (VPCs, sub-redes e grupos de segurança) em todos os recursos.

  • A declaração MarketplaceOperationsFromBedrockFor3pModels permite que você:

    • Assine as AWS Marketplace ofertas.

    • Visualize assinaturas.

    • Cancele a assinatura das AWS Marketplace ofertas.

    nota

    A chave de condição aws:CalledViaLast restringe essas ações somente quando elas são chamadas por meio do serviço Amazon Bedrock.

AWS política gerenciada: AmazonBedrockMarketplaceAccess

Você pode anexar a AmazonBedrockMarketplaceAccesspolítica às suas identidades do IAM para permitir que ela gerencie e use endpoints do modelo de mercado Amazon Bedrock com SageMaker integração de IA. A política inclui as seguintes declarações:

  • A declaração BedrockMarketplaceAPIs permite que você crie, exclua, registre, cancele o registro e atualize endpoints do modelo do Marketplace no Amazon Bedrock em todos os recursos.

  • A MarketplaceModelEndpointMutatingAPIs declaração permite que você crie e gerencie endpoints de SageMaker IA, configurações de endpoints e modelos em recursos específicos.

    • Use a chave de condição aws:CalledViaLast para garantir que essas ações sejam executadas somente quando chamadas por meio do Bedrock.

    • Use a chave de condição aws:ResourceTag/sagemaker-sdk:bedrock para garantir que essas ações sejam executadas somente em recursos marcados como compatíveis com o Amazon Bedrock.

  • A MarketplaceModelEndpointAddTagsOperations declaração permite adicionar tags específicas a endpoints de SageMaker IA, configurações de endpoints e modelos em recursos específicos.

    • Use a chave de condição aws:TagKeys para restringir quais tags podem ser adicionadas.

    • Use a chave de condição aws:RequestTag/* para garantir que os valores das tags correspondam aos padrões especificados.

  • A MarketplaceModelEndpointDeleteTagsOperations declaração permite excluir tags específicas de endpoints de SageMaker IA, configurações de endpoints e modelos em recursos específicos.

    • Use a chave de condição aws:TagKeys para restringir quais tags podem ser excluídas.

    • Use a chave de condição aws:ResourceTag/* para garantir que as tags excluídas correspondam aos padrões especificados.

  • A MarketplaceModelEndpointNonMutatingAPIs declaração permite visualizar e descrever endpoints de SageMaker IA, configurações de endpoints e modelos em recursos específicos.

    • Use a chave de condição aws:CalledViaLast para garantir que as ações sejam realizadas somente por meio do serviço Amazon Bedrock

  • A MarketplaceModelEndpointInvokingOperations declaração permite invocar endpoints de SageMaker IA em recursos especificados.

    • Use a chave de condição aws:CalledViaLast para garantir que as ações sejam realizadas somente por meio do serviço Amazon Bedrock

    • Use a chave de condição aws:ResourceTag/sagemaker-sdk:bedrock para garantir que as ações sejam realizadas somente em recursos compatíveis com o Bedrock

  • A DiscoveringMarketplaceModel declaração permite descrever o conteúdo do hub de SageMaker IA em recursos específicos.

  • A AllowMarketplaceModelsListing declaração permite listar o conteúdo do hub de SageMaker IA em recursos específicos.

  • A PassRoleToSageMaker declaração permite passar funções do IAM para a SageMaker AI e o Amazon Bedrock em recursos específicos.

    • Use a chave de condição iam:PassedToService para garantir que os perfis sejam transmitidos somente aos serviços especificados.

  • A declaração PassRoleToBedrock permite que você transmita perfis específicos do IAM ao Amazon Bedrock em recursos específicos.

    • Use a chave de condição iam:PassedToService para garantir que os perfis sejam transmitidos somente ao serviço Amazon Bedrock.

AWS política gerenciada: AmazonBedrockMantleFullAccess

Você pode anexar a AmazonBedrockMantleFullAccesspolítica às suas identidades do IAM para conceder acesso total a todas as operações do Amazon Bedrock Mantle.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • bedrock-mantle(Amazon Bedrock Mantle) — Permite que os diretores tenham acesso total a todas as ações no serviço Amazon Bedrock Mantle.

AWS política gerenciada: AmazonBedrockMantleReadOnly

Você pode anexar a AmazonBedrockMantleReadOnlypolítica às suas identidades do IAM para conceder permissões somente de leitura para visualizar os recursos do Amazon Bedrock Mantle e ligar com o token do portador.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • bedrock-mantle(Amazon Bedrock Mantle) — Permite que os diretores obtenham e listem os recursos do projeto Amazon Bedrock Mantle e liguem com o token do portador para autenticação.

AWS política gerenciada: AmazonBedrockMantleInferenceAccess

Você pode anexar a AmazonBedrockMantleInferenceAccesspolítica às suas identidades do IAM para conceder permissões para executar inferência nos modelos do Amazon Bedrock Mantle.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • bedrock-mantle(Amazon Bedrock Mantle) — Permite que os diretores obtenham e listem recursos do projeto Amazon Bedrock Mantle, criem solicitações de inferência e liguem com o token do portador para autenticação.

Atualizações do Amazon Bedrock para políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Bedrock desde que esse serviço começou a monitorar essas mudanças. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed de RSS em Histórico de documentos do Guia do usuário do Amazon Bedrock.

Alteração Descrição Data

AmazonBedrockMantleFullAccess – Nova política

O Amazon Bedrock adicionou uma nova política para conceder acesso total a todas as operações do Amazon Bedrock Mantle.

 3 de dezembro de 2025

AmazonBedrockMantleReadOnly – Nova política

O Amazon Bedrock adicionou uma nova política para conceder acesso somente de leitura aos recursos do Amazon Bedrock Mantle.

 3 de dezembro de 2025

AmazonBedrockMantleInferenceAccess – Nova política

O Amazon Bedrock adicionou uma nova política para conceder acesso por inferência aos modelos Amazon Bedrock Mantle.

 3 de dezembro de 2025

AmazonBedrockFullAccess: política atualizada

O Amazon Bedrock atualizou a política AmazonBedrockFullAccess gerenciada para permitir o acesso a todos os modelos básicos sem servidor por padrão.

 14 de julho de 2025

AmazonBedrockMarketplaceAccess – Nova política

O Amazon Bedrock adicionou uma nova política para conceder aos clientes permissões para acessar os modelos básicos do Amazon Bedrock Marketplace por meio de um endpoint de SageMaker IA.

 13 de junho de 2025

AmazonBedrockLimitedAccess – Nova política

O Amazon Bedrock adicionou uma nova política para conceder aos clientes permissões básicas para acessar ações essenciais no Amazon Bedrock.

 13 de junho de 2025

AmazonBedrockFullAccess: política atualizada

O Amazon Bedrock atualizou a política AmazonBedrockFullAccess gerenciada para conceder aos clientes as permissões necessárias para criar, ler, atualizar e excluir recursos do Amazon Bedrock Marketplace. Isso inclui permissões para gerenciar os recursos subjacentes de SageMaker IA da Amazon, pois eles servem como base para a funcionalidade do Amazon Bedrock Marketplace.

 4 de dezembro de 2024

AmazonBedrockReadOnly: política atualizada

O Amazon Bedrock atualizou a política AmazonBedrockReadOnly gerenciada para conceder aos clientes as permissões necessárias para ler os recursos do Amazon Bedrock Marketplace. Isso inclui permissões para gerenciar os recursos subjacentes de SageMaker IA da Amazon, pois eles servem como base para a funcionalidade do Amazon Bedrock Marketplace.

 4 de dezembro de 2024

AmazonBedrockReadOnly: política atualizada

O Amazon Bedrock atualizou a AmazonBedrockReadOnly política para incluir permissões somente de leitura para importação de modelos personalizados.

 18 de outubro de 2024

AmazonBedrockReadOnly: política atualizada

O Amazon Bedrock adicionou permissões somente leitura ao perfil de inferência.

 27 de agosto de 2024

AmazonBedrockReadOnly: política atualizada

O Amazon Bedrock atualizou a AmazonBedrockReadOnly política para incluir permissões somente de leitura para o Amazon Bedrock Guardrails, a avaliação do Amazon Bedrock Model e a inferência do Amazon Bedrock Batch.

 21 de agosto de 2024

AmazonBedrockReadOnly: política atualizada

O Amazon Bedrock adicionou permissões somente leitura de inferência em lote (trabalho de invocação de modelo).

 21 de agosto de 2024

AmazonBedrockReadOnly: política atualizada

O Amazon Bedrock atualizou a AmazonBedrockReadOnly política para incluir permissões somente de leitura para o Amazon Bedrock Custom Model Import.

 3 de setembro de 2024

AmazonBedrockFullAccess – Nova política

O Amazon Bedrock adicionou uma nova política para conceder aos usuários permissões para criar, ler, atualizar e excluir recursos.

 12 de dezembro de 2023

AmazonBedrockReadOnly – Nova política

O Amazon Bedrock adicionou uma nova política para conceder aos usuários permissões somente leitura para todas as ações.

 12 de dezembro de 2023

O Amazon Bedrock passou a controlar alterações

O Amazon Bedrock começou a monitorar as mudanças em suas políticas AWS gerenciadas.

 12 de dezembro de 2023