AWS Amazon Bedrock 的托管政策 - Amazon Bedrock
AmazonBedrockFullAccessAmazonBedrockReadOnlyAmazonBedrockLimitedAccessAmazonBedrockMarketplaceAccess策略更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Amazon Bedrock 的托管政策

要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。

有关 AWS 托管策略的列表,请参阅AWS 托管策略参考中的 AWS 托管策略。有关 AWS 托管策略的更多信息,请参阅 IAM 用户指南中的AWS 托管策略

AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。

此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,ReadOnlyAccess AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的AWS 托管式策略

AWS 托管策略: AmazonBedrockFullAccess

您可以将AmazonBedrockFullAccess策略附加到您的 IAM 身份,以授予管理权限,允许用户创建、读取、更新和删除 Amazon Bedrock 资源。

权限详细信息

该策略包含以下权限:

  • ec2(Amazon Elastic Compute Cloud)— 允许描述 VPCs、子网和安全组的权限。

  • iam(Ident AWS ity and Access Management)— 允许委托人传递角色,但仅允许将带有 “Amazon Bedrock” 的 IAM 角色传递给 Amazon Bedrock 服务。对于 Amazon Bedrock 操作,这些权限仅限于 bedrock.amazonaws.com

  • kms(AWS 密钥管理服务)-允许委托人描述 AWS KMS 密钥和别名。

  • bedrock (Amazon Bedrock) – 允许主体读取和写入 Amazon Bedrock 控制面板和运行时服务中的所有操作。

  • sagemaker(Amazon SageMaker AI)— 允许委托人访问客户账户中的亚马逊 SageMaker AI 资源,该账户是亚马逊 Bedrock Marketplace 功能的基础。

AWS 托管策略: AmazonBedrockReadOnly

您可以将AmazonBedrockReadOnly策略附加到您的 IAM 身份,以授予查看 Amazon Bedrock 中所有资源的只读权限。

AWS 托管策略: AmazonBedrockLimitedAccess

您可以将AmazonBedrockLimitedAccess策略附加到您的 IAM 身份,以允许其访问 Amazon Bedrock 服务、 AWS KMS 密钥管理、网络资源以及第三方基础模型的 AWS Marketplace 订阅。该政策包括以下声明:

  • BedrockAPIs声明允许您在 Amazon Bedrock 中执行多项操作,包括:

    • 向亚马逊 Bedrock 服务发出 API 请求时传递亚马逊 Bedrock API 密钥。

    • 描述有关资源的信息。

    • 创建资源(护栏、模型、作业)。

    • 创建和完善自动推理策略(创建、构建、完善和测试策略)。

    • 删除资源。

    • 在所有资源上调用模型。

  • DescribeKey声明允许您查看有关所有区域和账户的 KMS 密钥的信息,前提是这些密钥的策略允许您这样做。

  • APIsWithAllResourceAccess声明允许您:

    • 列出 IAM 角色。

    • 描述所有资源中的 Amazon VPC 资源(VPCs、子网和安全组)。

  • MarketplaceOperationsFromBedrockFor3pModels声明使您能够:

    • 订阅 AWS Marketplace 产品。

    • 查看订阅。

    • 取消订阅 AWS Marketplace 产品。

    注意

    条件键将这些操作aws:CalledViaLast限制为仅当通过 Amazon Bedrock 服务调用时。

AWS 托管策略: AmazonBedrockMarketplaceAccess

您可以将AmazonBedrockMarketplaceAccess策略附加到您的 IAM 身份,使其能够管理和使用集成了 A SageMaker I 的 Amazon Bedrock 商城模型终端节点。该政策包括以下声明:

  • BedrockMarketplaceAPIs声明允许您在所有资源上在 Amazon Bedrock 中创建、删除、注册、注销和更新商城模型终端节点。

  • MarketplaceModelEndpointMutatingAPIs声明允许您在指定资源上创建和管理 SageMaker AI 终端节点、端点配置和模型。

    • 使用aws:CalledViaLast条件键确保这些操作仅在通过 Bedrock 调用时执行。

    • 使用aws:ResourceTag/sagemaker-sdk:bedrock条件键确保仅对标记为 Amazon Bedrock 兼容的资源执行这些操作。

  • MarketplaceModelEndpointAddTagsOperations声明允许在指定资源上向 SageMaker AI 终端节点、端点配置和模型添加特定标签。

    • 使用aws:TagKeys条件键限制可以添加哪些标签

    • 使用aws:RequestTag/*条件键确保标签值与指定的模式相匹配

  • MarketplaceModelEndpointDeleteTagsOperations语句允许从指定资源上的 SageMaker AI 端点、端点配置和模型中删除特定标签。

    • 使用aws:TagKeys条件键限制可以删除哪些标签

    • 使用aws:ResourceTag/*条件键确保已删除的标签与指定的模式相匹配

  • MarketplaceModelEndpointNonMutatingAPIs语句允许查看和描述指定资源上的 SageMaker AI 端点、端点配置和模型。

    • 使用aws:CalledViaLast条件键确保只能通过 Amazon Bedrock 服务执行操作

  • MarketplaceModelEndpointInvokingOperations语句允许在指定资源上调用 SageMaker AI 终端节点。

    • 使用aws:CalledViaLast条件键确保只能通过 Amazon Bedrock 服务执行操作

    • 使用aws:ResourceTag/sagemaker-sdk:bedrock条件键确保仅对与 Bedrock 兼容的资源执行操作

  • DiscoveringMarketplaceModel声明允许描述指定资源上的 SageMaker AI 中心内容。

  • AllowMarketplaceModelsListing声明允许列出指定资源上的 SageMaker AI Hub 内容。

  • PassRoleToSageMaker声明允许将指定资源上的 IAM 角色传递给 A SageMaker I 和 Amazon Bedrock。

    • 使用iam:PassedToService条件键确保角色仅传递给指定的服务。

  • PassRoleToBedrock声明允许您在指定资源上将特定 IAM 角色传递给 Amazon Bedrock。

    • 使用iam:PassedToService条件键确保角色仅传递给 Amazon Bedrock 服务。

Amazon Bedrock 更新了托 AWS 管政策

查看自该服务开始跟踪这些更改以来,Amazon Bedrock AWS 托管政策更新的详细信息。要获得有关此页面更改的自动提示,请订阅 《Amazon Bedrock 用户指南》的文档历史记录 上的 RSS 源。

更改 描述 日期

AmazonBedrockMarketplaceAccess - 新策略

亚马逊 Bedrock 添加了一项新政策,允许客户通过 A SageMaker I 终端节点访问亚马逊 Bedrock Marketplace 基础模型。

 2025 年 6 月 13 日

AmazonBedrockLimitedAccess:新策略

Amazon Bedrock 添加了一项新政策,授予客户访问亚马逊 Bedrock 中核心操作的基本权限。

 2025 年 6 月 13 日

AmazonBedrockFullAccess - 更新的策略

Amazon Bedrock 更新了 AmazonBedrockFullAccess 托管政策,授予客户创建、读取、更新和删除亚马逊 Bedrock Marketplace 资源的必要权限。这包括管理底层亚马逊 A SageMaker I 资源的权限,因为它们是亚马逊 Bedrock Marketplace 功能的基础。

 2024年12月4日

AmazonBedrockReadOnly - 更新的策略

亚马逊 Bedrock 更新了 AmazonBedrockReadOnly 托管政策,授予客户阅读亚马逊 Bedrock Marketplace 资源的必要权限。这包括管理底层亚马逊 A SageMaker I 资源的权限,因为它们是亚马逊 Bedrock Marketplace 功能的基础。

 2024年12月4日

AmazonBedrockReadOnly - 更新的策略

Amazon Bedrock 更新了 AmazonBedrockReadOnly 政策,增加了自定义模型导入的只读权限。

 2024 年 10 月 18 日

AmazonBedrockReadOnly - 更新的策略

Amazon Bedrock 添加了对推理配置文件的只读权限。

 2024 年 8 月 27 日

AmazonBedrockReadOnly - 更新的策略

亚马逊 Bedrock 更新了 AmazonBedrockReadOnly 政策,将亚马逊 Bedrock Guardrails、Amazon Bedrock 模型评估和亚马逊 Bedrock Batch 推理的只读权限包括在内。

 2024 年 8 月 21 日

AmazonBedrockReadOnly - 更新的策略

Amazon Bedrock 增加了对批量推理(模型调用作业)的只读权限。

 2024 年 8 月 21 日

AmazonBedrockReadOnly - 更新的策略

Amazon Bedrock 更新了 AmazonBedrockReadOnly 政策,增加了亚马逊 Bedrock 定制模型导入的只读权限。

 2024 年 9 月 3 日

AmazonBedrockFullAccess:新策略

Amazon Bedrock 添加了一项新策略,授予用户创建、读取、更新和删除资源的权限。

 2023 年 12 月 12 日

AmazonBedrockReadOnly:新策略

Amazon Bedrock 添加了一项新策略,授予用户对所有操作的只读权限。

 2023 年 12 月 12 日

Amazon Bedrock 已开启跟踪更改

Amazon Bedrock 开始跟踪其 AWS 托管政策的变更。

 2023 年 12 月 12 日