本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWSAmazon Bedrock 的托管政策
要向用户、群组和角色添加权限,使用AWS托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用我们的AWS托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户 中使用。
有关AWS托管策略的列表,请参阅AWS托管策略参考中的AWS托管策略。有关AWS托管策略的更多信息,请参阅 IAM 用户指南中的AWS托管策略。
AWS服务维护和更新AWS托管策略。您无法更改AWS托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从AWS托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还AWS支持跨多个服务的工作职能的托管策略。例如,ReadOnlyAccessAWS托管策略提供对所有AWS服务和资源的只读访问权限。当服务启动一项新功能时,AWS会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 AWS 托管式策略。
主题
AWS托管策略: AmazonBedrockFullAccess
您可以将AmazonBedrockFullAccess策略附加到您的 IAM 身份,以授予管理权限,允许用户创建、读取、更新和删除 Amazon Bedrock 资源。
权限详细信息
该策略包含以下权限:
-
ec2(Amazon Elastic Compute Cloud)— 允许描述 VPCs、子网和安全组的权限。 -
iam(Ident AWS ity and Access Management)— 允许委托人传递角色,但仅允许将带有 “Amazon Bedrock” 的 IAM 角色传递给 Amazon Bedrock 服务。对于 Amazon Bedrock 操作,这些权限仅限于bedrock.amazonaws.com。 -
kms(AWS密钥管理服务)-允许委托人描述AWS KMS密钥和别名。 -
bedrock(Amazon Bedrock) – 允许主体读取和写入 Amazon Bedrock 控制面板和运行时服务中的所有操作。 -
sagemaker(Amazon SageMaker AI)— 允许委托人访问客户账户中的亚马逊 SageMaker AI 资源,该账户是亚马逊 Bedrock Marketplace 功能的基础。
AWS托管策略: AmazonBedrockReadOnly
您可以将AmazonBedrockReadOnly策略附加到您的 IAM 身份,以授予查看 Amazon Bedrock 中所有资源的只读权限。
AWS托管策略: AmazonBedrockLimitedAccess
您可以将AmazonBedrockLimitedAccess策略附加到您的 IAM 身份,以允许其访问 Amazon Bedrock 服务、AWS KMS密钥管理、网络资源以及第三方基础模型的 AWS Marketplace 订阅。此策略包括以下语句:
-
BedrockAPIs语句使您可以在 Amazon Bedrock 中执行多项操作,包括:向 Amazon Bedrock 服务发出 API 请求时传递 Amazon Bedrock API 密钥。
描述有关资源的信息。
创建资源(护栏、模型、作业)。
创建和完善自动推理策略(创建、构建、完善和测试策略)。
删除资源。
在所有资源上调用模型。
-
DescribeKey语句在密钥策略允许的情况下,让您可以查看有关所有区域和账户的 KMS 密钥的信息。 -
APIsWithAllResourceAccess语句让您可以:列出 IAM 角色。
描述所有资源中的 Amazon VPC 资源(VPCs、子网和安全组)。
-
MarketplaceOperationsFromBedrockFor3pModels语句使您能够:订阅AWS Marketplace产品/服务。
查看订阅。
取消订阅AWS Marketplace产品/服务。
注意
条件键
aws:CalledViaLast将这些操作限制为只能通过 Amazon Bedrock 服务调用进行。
AWS托管策略: AmazonBedrockMarketplaceAccess
您可以将AmazonBedrockMarketplaceAccess策略附加到您的 IAM 身份,使其能够管理和使用集成了 A SageMaker I 的 Amazon Bedrock 商城模型终端节点。此策略包括以下语句:
-
BedrockMarketplaceAPIs使您能够对所有资源,在 Amazon Bedrock 中创建、删除、注册、取消注册和更新 Marketplace 端点。 -
该
MarketplaceModelEndpointMutatingAPIs声明允许您在指定资源上创建和管理 SageMaker AI 终端节点、端点配置和模型。-
使用
aws:CalledViaLast条件键确保这些操作只能在通过 Bedrock 进行调用时执行。 -
使用
aws:ResourceTag/sagemaker-sdk:bedrock条件键确保仅对标记为与 Amazon Bedrock 兼容的资源执行这些操作。
-
-
该
MarketplaceModelEndpointAddTagsOperations声明允许在指定资源上向 SageMaker AI 终端节点、端点配置和模型添加特定标签。-
使用
aws:TagKeys条件键来限制可以添加哪些标签 -
使用
aws:RequestTag/*条件键确保标签值与指定的模式相匹配
-
-
该
MarketplaceModelEndpointDeleteTagsOperations语句允许从指定资源上的 SageMaker AI 端点、端点配置和模型中删除特定标签。-
使用
aws:TagKeys条件键限制可以删除哪些标签 -
使用
aws:ResourceTag/*条件键确保删除的标签与指定的模式相匹配
-
-
该
MarketplaceModelEndpointNonMutatingAPIs语句允许查看和描述指定资源上的 SageMaker AI 端点、端点配置和模型。-
使用
aws:CalledViaLast条件键确保这些操作只能通过 Amazon Bedrock 服务执行
-
-
该
MarketplaceModelEndpointInvokingOperations语句允许在指定资源上调用 SageMaker AI 终端节点。-
使用
aws:CalledViaLast条件键确保这些操作只能通过 Amazon Bedrock 服务执行 -
使用
aws:ResourceTag/sagemaker-sdk:bedrock条件键确保仅对与 Bedrock 兼容的资源执行操作
-
-
该
DiscoveringMarketplaceModel声明允许描述指定资源上的 SageMaker AI 中心内容。 -
该
AllowMarketplaceModelsListing声明允许列出指定资源上的 SageMaker AI Hub 内容。 -
该
PassRoleToSageMaker声明允许将指定资源上的 IAM 角色传递给 A SageMaker I 和 Amazon Bedrock。-
使用
iam:PassedToService条件键确保角色仅传递给指定的服务。
-
-
PassRoleToBedrock语句允许在指定资源上,将特定 IAM 角色传递给 Amazon Bedrock。-
使用
iam:PassedToService条件键确保这些角色仅传递给 Amazon Bedrock 服务。
-
AWS托管策略: AmazonBedrockMantleFullAccess
您可以将AmazonBedrockMantleFullAccess策略附加到您的 IAM 身份,以授予对所有 Amazon Bedrock Mantle 操作的完全访问权限。
权限详细信息
该策略包含以下权限:
-
bedrock-mantle(Amazon Bedrock Mantle)— 允许委托人完全访问亚马逊 Bedrock Mantle 服务中的所有操作。
AWS托管策略: AmazonBedrockMantleReadOnly
您可以将AmazonBedrockMantleReadOnly策略附加到您的 IAM 身份,以授予查看 Amazon Bedrock Mantle 资源和使用不记名令牌调用的只读权限。
权限详细信息
该策略包含以下权限:
-
bedrock-mantle(Amazon Bedrock Mantle)— 允许委托人获取和列出 Amazon Bedrock Mantle 项目资源,并使用不记名令牌调用进行身份验证。
AWS托管策略: AmazonBedrockMantleInferenceAccess
您可以将AmazonBedrockMantleInferenceAccess策略附加到您的 IAM 身份,以授予在 Amazon Bedrock Mantle 模型上运行推理的权限。
权限详细信息
该策略包含以下权限:
-
bedrock-mantle(Amazon Bedrock Mantle)— 允许委托人获取和列出 Amazon Bedrock Mantle 项目资源、创建推理请求以及使用不记名令牌调用进行身份验证。
Amazon Bedrock 更新了托AWS管政策
查看自该服务开始跟踪这些更改以来,Amazon Bedrock AWS 托管政策更新的详细信息。要获得有关此页面更改的自动提示,请订阅 《Amazon Bedrock 用户指南》的文档历史记录 上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
|
亚马逊 Bedrock 增加了一项新政策,授予对所有亚马逊 Bedrock Mantle 运营的完全访问权限。 |
2025年12月3日 | |
|
亚马逊 Bedrock 添加了一项新政策,授予对亚马逊 Bedrock Mantle 资源的只读访问权限。 |
2025年12月3日 | |
|
亚马逊 Bedrock 添加了一项新政策,授予对亚马逊 Bedrock Mantle 模型的推理访问权限。 |
2025年12月3日 | |
|
AmazonBedrockFullAccess - 更新的策略 |
Amazon Bedrock 更新了 AmazonBedrockFullAccess 托管策略,默认情况下允许访问所有无服务器基础模型。 |
2025 年 7 月 14 日 |
|
亚马逊 Bedrock 添加了一项新政策,授予客户通过 A SageMaker I 终端节点访问亚马逊 Bedrock Marketplace 基础模型的权限。 |
2025 年 6 月 13 日 | |
|
Amazon Bedrock 添加了一项新策略,用于向客户授予访问 Amazon Bedrock 中核心操作的基本权限。 |
2025 年 6 月 13 日 | |
|
AmazonBedrockFullAccess - 更新的策略 |
Amazon Bedrock 更新了 AmazonBedrockFullAccess 托管政策,授予客户创建、读取、更新和删除亚马逊 Bedrock Marketplace 资源的必要权限。这包括管理底层亚马逊 A SageMaker I 资源的权限,因为它们是亚马逊 Bedrock Marketplace 功能的基础。 |
2024 年 12 月 4 日 |
|
AmazonBedrockReadOnly - 更新的策略 |
亚马逊 Bedrock 更新了 AmazonBedrockReadOnly 托管政策,授予客户阅读亚马逊 Bedrock Marketplace 资源的必要权限。这包括管理底层亚马逊 A SageMaker I 资源的权限,因为它们是亚马逊 Bedrock Marketplace 功能的基础。 |
2024 年 12 月 4 日 |
|
AmazonBedrockReadOnly - 更新的策略 |
Amazon Bedrock 更新了 AmazonBedrockReadOnly 政策,增加了自定义模型导入的只读权限。 |
2024 年 10 月 18 日 |
|
AmazonBedrockReadOnly - 更新的策略 |
Amazon Bedrock 添加了对推理配置文件的只读权限。 |
2024 年 8 月 27 日 |
|
AmazonBedrockReadOnly - 更新的策略 |
亚马逊 Bedrock 更新了 AmazonBedrockReadOnly 政策,将亚马逊 Bedrock Guardrails、Amazon Bedrock 模型评估和亚马逊 Bedrock Batch 推理的只读权限包括在内。 |
2024 年 8 月 21 日 |
|
AmazonBedrockReadOnly - 更新的策略 |
Amazon Bedrock 增加了对批量推理(模型调用作业)的只读权限。 |
2024 年 8 月 21 日 |
|
AmazonBedrockReadOnly - 更新的策略 |
Amazon Bedrock 更新了 AmazonBedrockReadOnly 政策,增加了亚马逊 Bedrock 定制模型导入的只读权限。 |
2024 年 9 月 3 日 |
|
Amazon Bedrock 添加了一项新策略,授予用户创建、读取、更新和删除资源的权限。 |
2023 年 12 月 12 日 | |
|
Amazon Bedrock 添加了一项新策略,授予用户对所有操作的只读权限。 |
2023 年 12 月 12 日 | |
|
Amazon Bedrock 已开启跟踪更改 |
Amazon Bedrock 开始跟踪其AWS托管政策的变更。 |
2023 年 12 月 12 日 |
