本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Amazon Bedrock 的 受管政策
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 IAM 客戶受管政策需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。
如需 AWS 受管政策的清單,請參閱 AWS 受管政策參考中的 AWS 受管政策。如需 AWS 受管政策的詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如,ReadOnlyAccess AWS 受管政策提供對所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會 AWS 新增新操作和資源的唯讀許可。如需任務職能政策的清單和說明,請參閱 IAM 使用者指南中有關任務職能的AWS 受管政策。
主題
AWS 受管政策:AmazonBedrockFullAccess
您可以將 AmazonBedrockFullAccess 政策連接至 IAM 身分,以授予管理許可,允許使用者建立、讀取、更新和刪除 Amazon Bedrock 資源。
許可詳細資訊
此政策包含以下許可:
-
ec2(Amazon Elastic Compute Cloud) — 允許描述 VPC、子網路和安全群組。 -
iam(AWS 身分識別和存取管理) – 允許主體傳遞角色,但只允許將 IAM 角色中具有「Amazon Bedrock」的 IAM 角色傳遞至 Amazon Bedrock 服務。許可權僅限用於 Amazon Bedrock 操作的bedrock.amazonaws.com。 -
kms(AWS 金鑰管理服務) – 允許主體描述 AWS KMS 金鑰和別名。 -
bedrock(Amazon Bedrock) — 允許主體讀取和寫入存取 Amazon Bedrock控制平面和執行期服務中的所有動作。 -
sagemaker(Amazon SageMaker AI) – 允許主體存取客戶帳戶中的 Amazon SageMaker AI 資源,這是 Amazon Bedrock Marketplace 功能的基礎。
AWS 受管政策:AmazonBedrockReadOnly
您可以將 AmazonBedrockReadOnly 政策連接至 IAM 身分,以授予唯讀許可來檢視 Amazon Bedrock 中的所有資源。
AWS 受管政策:AmazonBedrockLimitedAccess
您可以將 AmazonBedrockLimitedAccess 政策連接至 IAM 身分,以允許其存取第三方基礎模型的 Amazon Bedrock 服務、 AWS KMS 金鑰管理、聯網資源和 AWS Marketplace 訂閱。此政策包含下列陳述式:
-
BedrockAPIs陳述式可讓您在 Amazon Bedrock 中執行多項操作,包括:在向 Amazon Bedrock 服務提出 API 請求時傳遞 Amazon Bedrock API 金鑰。
描述 資源的相關資訊。
建立資源 (護欄、模型、任務)。
建立和精簡自動化理由政策 (建立、建置、精簡和測試政策)。
刪除資源。
在所有 資源上調用模型。
-
DescribeKey陳述式可讓您檢視所有區域和帳戶 KMS 金鑰的相關資訊,只要金鑰上的政策允許您這麼做。 -
APIsWithAllResourceAccess陳述式可讓您:列出 IAM 角色。
描述所有資源的 Amazon VPC 資源 (VPCs、子網路和安全群組)。
-
MarketplaceOperationsFromBedrockFor3pModels陳述式可讓您:訂閱 AWS Marketplace 方案。
檢視訂閱。
取消訂閱 AWS Marketplace 方案。
注意
只有在透過 Amazon Bedrock 服務呼叫時,條件索引鍵才會將這些動作
aws:CalledViaLast限制為 。
AWS 受管政策:AmazonBedrockMarketplaceAccess
您可以將 AmazonBedrockMarketplaceAccess 政策連接至 IAM 身分,以允許其透過 SageMaker AI 整合管理和使用 Amazon Bedrock Marketplace 模型端點。此政策包含下列陳述式:
-
BedrockMarketplaceAPIs陳述式可讓您在所有 資源上建立、刪除、註冊、取消註冊和更新 Amazon Bedrock 中的市場模型端點。 -
MarketplaceModelEndpointMutatingAPIs陳述式可讓您在指定的資源上建立和管理 SageMaker AI 端點、端點組態和模型。-
使用
aws:CalledViaLast條件金鑰,以確保只有在透過 Bedrock 呼叫 時才會執行這些動作。 -
使用
aws:ResourceTag/sagemaker-sdk:bedrock條件金鑰,以確保這些動作僅在標記為與 Amazon Bedrock 相容的資源上執行。
-
-
MarketplaceModelEndpointAddTagsOperations陳述式允許將特定標籤新增至指定資源上的 SageMaker AI 端點、端點組態和模型。-
使用
aws:TagKeys條件索引鍵來限制可新增的標籤 -
使用
aws:RequestTag/*條件索引鍵來確保標籤值符合指定的模式
-
-
MarketplaceModelEndpointDeleteTagsOperations陳述式允許刪除指定資源上 SageMaker AI 端點、端點組態和模型的特定標籤。-
使用
aws:TagKeys條件索引鍵來限制哪些標籤可以刪除 -
使用
aws:ResourceTag/*條件索引鍵,以確保刪除的標籤符合指定的模式
-
-
MarketplaceModelEndpointNonMutatingAPIs陳述式允許檢視和描述指定資源上的 SageMaker AI 端點、端點組態和模型。-
使用
aws:CalledViaLast條件索引鍵來確保僅透過 Amazon Bedrock 服務執行動作
-
-
MarketplaceModelEndpointInvokingOperations陳述式允許在指定的資源上調用 SageMaker AI 端點。-
使用
aws:CalledViaLast條件索引鍵來確保僅透過 Amazon Bedrock 服務執行動作 -
使用
aws:ResourceTag/sagemaker-sdk:bedrock條件索引鍵來確保僅在 Bedrock 相容資源上執行動作
-
-
DiscoveringMarketplaceModel陳述式允許在指定的資源上減少 SageMaker AI 中樞內容。 -
AllowMarketplaceModelsListing陳述式允許列出指定資源上的 SageMaker AI 中樞內容。 -
PassRoleToSageMaker陳述式允許在指定的資源上將 IAM 角色傳遞至 SageMaker AI 和 Amazon Bedrock。-
使用
iam:PassedToService條件索引鍵來確保角色只傳遞給指定的服務。
-
-
PassRoleToBedrock陳述式可讓您將特定 IAM 角色傳遞給指定資源上的 Amazon Bedrock。-
使用
iam:PassedToService條件金鑰來確保角色僅傳遞至 Amazon Bedrock 服務。
-
Amazon Bedrock 受 AWS 管政策的更新
檢視自此服務開始追蹤 Amazon Bedrock AWS 受管政策更新以來的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 Amazon Bedrock 使用者指南的文件歷史記錄 上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
Amazon Bedrock 新增了一項新政策,授予客戶透過 SageMaker AI 端點存取 Amazon Bedrock Marketplace 基礎模型的許可。 |
2025 年 6 月 13 日 | |
|
Amazon Bedrock 新增了一項新政策,授予客戶在 Amazon Bedrock 中存取核心動作的基本許可。 |
2025 年 6 月 13 日 | |
|
AmazonBedrockFullAccess – 已更新政策 |
Amazon Bedrock 已更新 AmazonBedrockFullAccess 受管政策,授予客戶建立、讀取、更新和刪除 Amazon Bedrock Marketplace 資源的必要許可。這包括管理基礎 Amazon SageMaker AI 資源的許可,因為它們是 Amazon Bedrock Marketplace 功能的基礎。 |
2024 年 12 月 4 日 |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 已更新 AmazonBedrockReadOnly 受管政策,授予客戶讀取 Amazon Bedrock Marketplace 資源的必要許可。這包括管理基礎 Amazon SageMaker AI 資源的許可,因為它們是 Amazon Bedrock Marketplace 功能的基礎。 |
2024 年 12 月 4 日 |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 已更新 AmazonBedrockReadOnly 政策,以包含自訂模型匯入的唯讀許可。 |
2024 年 10 月 18 日 |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 新增了推論設定檔唯讀許可。 |
2024 年 8 月 27 日 |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 已更新 AmazonBedrockReadOnly 政策,以包含 Amazon Bedrock Guardrails、Amazon Bedrock Model 評估和 Amazon Bedrock Batch 推論的唯讀許可。 |
2024 年 8 月 21 日 |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 新增了批次推論 (模型調用任務) 唯讀許可。 |
2024 年 8 月 21 日 |
|
AmazonBedrockReadOnly – 已更新政策 |
Amazon Bedrock 已更新 AmazonBedrockReadOnly 政策,以包含 Amazon Bedrock 自訂模型匯入的唯讀許可。 |
2024 年 9 月 3 日 |
|
AmazonBedrockFullAccess – 新政策 |
Amazon Bedrock 新增了新政策,授予使用者建立、讀取、更新和刪除資源的許可權。 |
2023 年 12 月 12 日 |
|
AmazonBedrockReadOnly – 新政策 |
Amazon Bedrock 新增了新政策,為使用者提供所有動作的唯讀許可權。 |
2023 年 12 月 12 日 |
|
Amazon Bedrock 開始追蹤變更 |
Amazon Bedrock 開始追蹤其 AWS 受管政策的變更。 |
2023 年 12 月 12 日 |
