本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSAmazon Bedrock 的 受管政策
若要新增許可給使用者、群組和角色,使用 AWS受管政策比自行撰寫政策更容易。建立 IAM 客戶受管政策需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶 中使用。
如需AWS受管政策的清單,請參閱 AWS受管政策參考中的 AWS受管政策。如需 AWS受管政策的詳細資訊,請參閱《IAM 使用者指南》中的 AWS受管政策。
AWS服務會維護和更新 AWS受管政策。您無法變更 AWS受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS支援跨多個 服務之任務函數的受管政策。例如,ReadOnlyAccessAWS 受管政策提供所有 AWS服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源AWS新增唯讀許可。如需任務職能政策的清單和說明,請參閱 IAM 使用者指南中有關任務職能的 AWS 受管政策。
主題
AWS受管政策:AmazonBedrockFullAccess
您可以將 AmazonBedrockFullAccess 政策連接至您的 IAM 身分,以授予管理權限,允許使用者建立、讀取、更新和刪除 Amazon Bedrock 資源。
許可詳細資訊
此政策包含以下許可:
-
ec2(Amazon Elastic Compute Cloud) — 允許描述 VPC、子網路和安全群組。 -
iam(AWS身分識別和存取管理) – 允許主體傳遞角色,但只允許將 IAM 角色中具有「Amazon Bedrock」的 IAM 角色傳遞至 Amazon Bedrock 服務。許可權僅限用於 Amazon Bedrock 操作的bedrock.amazonaws.com。 -
kms(AWS金鑰管理服務) – 允許主體描述AWS KMS金鑰和別名。 -
bedrock(Amazon Bedrock) — 允許主體讀取和寫入存取 Amazon Bedrock控制平面和執行時期服務中的所有動作。 -
sagemaker(Amazon SageMaker AI) – 允許主體存取客戶帳戶中的 Amazon SageMaker AI 資源,做為 Amazon Bedrock 市集功能的基礎。
AWS受管政策:AmazonBedrockReadOnly
您可以將 AmazonBedrockReadOnly 政策連接至 IAM 身分,以授予唯讀許可來檢視 Amazon Bedrock 中的所有資源。
AWS受管政策:AmazonBedrockLimitedAccess
您可以將 AmazonBedrockLimitedAccess 政策連接至 IAM 身分,以允許其存取第三方基礎模型的 Amazon Bedrock 服務、AWS KMS金鑰管理、聯網資源和 AWSMarketplace 訂閱。此政策包含下列陳述式:
-
BedrockAPIs陳述式可讓您在 Amazon Bedrock 中執行多項操作,包括:在向 Amazon Bedrock 服務提出 API 請求時傳遞 Amazon Bedrock API 金鑰。
描述資源的相關資訊。
建立資源 (防護機制、模型、任務)。
建立和調整自動推理政策 (建立、建置、調整和測試政策)。
刪除資源。
在所有資源上調用模型。
-
DescribeKey陳述式可讓您檢視所有區域和帳戶中的 KMS 金鑰相關資訊,只要金鑰上的政策允許您這麼做即可。 -
APIsWithAllResourceAccess陳述式可讓您:列出 IAM 角色。
描述所有資源中的 Amazon VPC 資源 (VPC、子網路和安全群組)。
-
MarketplaceOperationsFromBedrockFor3pModels陳述式可讓您:訂閱AWS Marketplace方案。
檢視訂閱。
取消訂閱AWS Marketplace方案。
注意
條件索引鍵
aws:CalledViaLast將這些動作限制為只有透過 Amazon Bedrock 服務呼叫其時才會執行。
AWS受管政策:AmazonBedrockMarketplaceAccess
您可以將 AmazonBedrockMarketplaceAccess 政策連接至您的 IAM 身分,以允許其透過 SageMaker AI 整合管理和使用 Amazon Bedrock 市集模型端點。此政策包含下列陳述式:
-
BedrockMarketplaceAPIs陳述式允許您在 Amazon Bedrock 中對所有資源建立、刪除、註冊、取消註冊和更新市集模型端點。 -
MarketplaceModelEndpointMutatingAPIs陳述式可讓您在指定的資源上建立和管理 SageMaker AI 端點、端點組態和模型。-
使用
aws:CalledViaLast條件索引鍵,以確保只有在透過 Bedrock 呼叫這些動作時,才會執行動作。 -
使用
aws:ResourceTag/sagemaker-sdk:bedrock條件索引鍵,以確保這些動作僅在標記為與 Amazon Bedrock 相容的資源上執行。
-
-
MarketplaceModelEndpointAddTagsOperations陳述式允許將特定標籤新增至指定資源上的 SageMaker AI 端點、端點組態和模型。-
使用
aws:TagKeys條件索引鍵來限制可新增的標籤 -
使用
aws:RequestTag/*條件索引鍵來確保標籤值符合指定的模式
-
-
MarketplaceModelEndpointDeleteTagsOperations陳述式允許刪除指定資源上 SageMaker AI 端點、端點組態和模型中的特定標籤。-
使用
aws:TagKeys條件索引鍵來限制可刪除的標籤 -
使用
aws:ResourceTag/*條件索引鍵來確保刪除的標籤符合指定的模式
-
-
MarketplaceModelEndpointNonMutatingAPIs陳述式允許檢視和描述指定資源上的 SageMaker AI 端點、端點組態和模型。-
使用
aws:CalledViaLast條件索引鍵來確保僅透過 Amazon Bedrock 服務執行動作
-
-
MarketplaceModelEndpointInvokingOperations陳述式允許在指定的資源上調用 SageMaker AI 端點。-
使用
aws:CalledViaLast條件索引鍵來確保僅透過 Amazon Bedrock 服務執行動作 -
使用
aws:ResourceTag/sagemaker-sdk:bedrock條件索引鍵來確保僅在 Bedrock 相容的資源上執行動作
-
-
DiscoveringMarketplaceModel陳述式允許描述指定資源上的 SageMaker AI 中樞內容。 -
AllowMarketplaceModelsListing陳述式允許列出指定資源上的 SageMaker AI 中樞內容。 -
PassRoleToSageMaker陳述式允許在指定的資源上將 IAM 角色傳遞至 SageMaker AI 和 Amazon Bedrock。-
使用
iam:PassedToService條件索引鍵來確保角色只傳遞給指定的服務。
-
-
PassRoleToBedrock陳述式可讓您將特定 IAM 角色傳遞給指定資源上的 Amazon Bedrock。-
使用
iam:PassedToService條件索引鍵來確保角色僅傳遞給 Amazon Bedrock 服務。
-
AWS受管政策:AmazonBedrockMantleFullAccess
您可以將 AmazonBedrockMantleFullAccess 政策連接至 IAM 身分,以授予所有 Amazon Bedrock Mantle 操作的完整存取權。
許可詳細資訊
此政策包含以下許可:
-
bedrock-mantle(Amazon Bedrock Mantle) – 允許主體完整存取 Amazon Bedrock Mantle 服務中的所有動作。
AWS受管政策:AmazonBedrockMantleReadOnly
您可以將 AmazonBedrockMantleReadOnly 政策連接至 IAM 身分,授予唯讀許可,以檢視 Amazon Bedrock Mantle 資源並使用承載字符呼叫 。
許可詳細資訊
此政策包含以下許可:
-
bedrock-mantle(Amazon Bedrock Mantle) – 允許主體取得和列出 Amazon Bedrock Mantle 專案資源,並使用承載字符呼叫以進行身分驗證。
AWS受管政策:AmazonBedrockMantleInferenceAccess
您可以將 AmazonBedrockMantleInferenceAccess 政策連接至 IAM 身分,以授予在 Amazon Bedrock Mantle 模型上執行推論的許可。
許可詳細資訊
此政策包含以下許可:
-
bedrock-mantle(Amazon Bedrock Mantle) – 允許主體取得和列出 Amazon Bedrock Mantle 專案資源、建立推論請求,以及使用承載字符呼叫以進行身分驗證。
Amazon Bedrock 受AWS管政策的更新
檢視自此服務開始追蹤 Amazon Bedrock AWS受管政策更新以來的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 Amazon Bedrock 使用者指南的文件歷史記錄 上的 RSS 摘要。
| 變更 | 描述 | Date |
|---|---|---|
|
Amazon Bedrock 新增了新的政策,以授予所有 Amazon Bedrock Mantle 操作的完整存取權。 |
2025 年 12 月 3 日 | |
|
Amazon Bedrock 新增了新的政策,以授予對 Amazon Bedrock Mantle 資源的唯讀存取權。 |
2025 年 12 月 3 日 | |
|
Amazon Bedrock 新增了新的政策,以授予 Amazon Bedrock Mantle 模型的推論存取權。 |
2025 年 12 月 3 日 | |
|
AmazonBedrockFullAccess – 已更新政策 |
Amazon Bedrock 已更新 AmazonBedrockFullAccess 受管政策,以根據預設啟用對所有無伺服器基礎模型的存取權。 |
2025 年 7 月 14 日 |
|
Amazon Bedrock 新增了一項新政策,授予客戶透過 SageMaker AI 端點存取 Amazon Bedrock 市集基礎模型的許可。 |
2025 年 6 月 13 日 | |
|
Amazon Bedrock 新增了新的政策,授予客戶存取 Amazon Bedrock 中核心動作的基本許可。 |
2025 年 6 月 13 日 | |
|
AmazonBedrockFullAccess – 已更新政策 |
Amazon Bedrock 更新了 AmazonBedrockFullAccess 受管政策,授予客戶建立、讀取、更新和刪除 Amazon Bedrock 市集資源的必要許可。這包括管理基礎 Amazon SageMaker AI 資源的許可,因為其為 Amazon Bedrock 市集功能的基礎。 |
2024 年 12 月 4 日 |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 更新了 AmazonBedrockReadOnly 受管政策,授予客戶讀取 Amazon Bedrock 市集資源的必要許可。這包括管理基礎 Amazon SageMaker AI 資源的許可,因為其為 Amazon Bedrock 市集功能的基礎。 |
2024 年 12 月 4 日 |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 更新了 AmazonBedrockReadOnly 政策,以包含自訂模型匯入的唯讀許可。 |
2024 年 10 月 18 日 |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 新增了推論設定檔唯讀許可。 |
2024 年 8 月 27 日 |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 更新了 AmazonBedrockReadOnly 政策,以包含 Amazon Bedrock 防護機制、Amazon Bedrock 模型評估和 Amazon Bedrock 批次推論的唯讀許可。 |
2024 年 8 月 21 日 |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 新增了批次推論 (模型調用任務) 唯讀許可。 |
2024 年 8 月 21 日 |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 更新了 AmazonBedrockReadOnly 政策,以包含 Amazon Bedrock 自訂模型匯入的唯讀許可。 |
2024 年 9 月 3 日 |
|
AmazonBedrockFullAccess – 新政策 |
Amazon Bedrock 新增了新政策,授予使用者建立、讀取、更新和刪除資源的許可權。 |
2023 年 12 月 12 日 |
|
AmazonBedrockReadOnly – 新政策 |
Amazon Bedrock 新增了新政策,為使用者提供所有動作的唯讀許可權。 |
2023 年 12 月 12 日 |
|
Amazon Bedrock 開始追蹤變更 |
Amazon Bedrock 開始追蹤其AWS受管政策的變更。 |
2023 年 12 月 12 日 |
