Amazon Bedrock Agentcore 的動作、資源和條件索引鍵

Amazon Bedrock Agentcore （服務字首：bedrock-agentcore) 提供下列服務特定的資源、動作和條件內容索引鍵，可用於 IAM 許可政策。

參考資料：

了解如何設定此服務。
檢視可供此服務使用的 API 操作清單。
了解如何使用 IAM 許可政策來保護此服務及其資源。

主題

Amazon Bedrock Agentcore 定義的動作
Amazon Bedrock Agentcore 定義的資源類型
Amazon Bedrock Agentcore 的條件索引鍵

Amazon Bedrock Agentcore 定義的動作

您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時，通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過，在某些情況下，單一動作可控制對多個操作的存取。或者，某些操作需要多種不同的動作。

動作資料表的存取層級欄說明動作的分類方式（列出、讀取、許可管理或標記）。此分類可協助您了解在政策中使用某動作時，該動作授予您的存取層級。如需存取層級的詳細資訊，請參閱政策摘要中的存取層級。

「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值，您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型，則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源，呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取，則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要)，則您可以選擇使用其中一種選用資源類型。

「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊，請參閱「資源類型」資料表的條件索引鍵欄。

動作資料表的相依動作欄會顯示成功呼叫動作所需的其他許可。除了動作本身的許可之外，還可能需要這些許可。當動作指定相依動作時，這些相依性可能適用於針對該動作定義的其他資源，而不只是資料表中列出的第一個資源。

注意

資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄，其中包含套用至「動作」資料表中動作的資源條件索引鍵。

如需下表各欄的詳細資訊，請參閱動作資料表。

動作	描述	存取層級	資源類型 (*必填項目)	條件索引鍵	相依動作
AllowVendedLogDeliveryForResource [僅限許可]	准許設定資源的付費遙測	許可管理	memory*
BatchCreateMemoryRecords	准許建立一或多個記憶體記錄	寫入	memory*
BatchCreateMemoryRecords	准許建立一或多個記憶體記錄	寫入		bedrock-agentcore:namespace
BatchDeleteMemoryRecords	准許刪除一或多個記憶體記錄	寫入	memory*
BatchUpdateMemoryRecords	准許更新一或多個記憶體記錄	寫入	memory*
BatchUpdateMemoryRecords	准許更新一或多個記憶體記錄	寫入		bedrock-agentcore:namespace
CompleteResourceTokenAuth	准許使用 OAuth2 for 3LO 流程擷取存取字符，以存取外部資源	閱讀	oauth2credentialprovider*
			token-vault*
			workload-identity*
			workload-identity-directory*
				bedrock-agentcore:InboundJwtClaim/iss bedrock-agentcore:InboundJwtClaim/sub bedrock-agentcore:InboundJwtClaim/aud bedrock-agentcore:InboundJwtClaim/scope bedrock-agentcore:InboundJwtClaim/client_id bedrock-agentcore:userid
ConnectBrowserAutomationStream	准許連線至瀏覽器自動化串流	閱讀
ConnectBrowserLiveViewStream	准許連線至瀏覽器即時檢視串流	閱讀
CreateAgentRuntime	准許建立新的代理程式執行期	寫入		aws:RequestTag/${TagKey} aws:TagKeys bedrock-agentcore:subnets bedrock-agentcore:securityGroups	iam:PassRole
CreateAgentRuntimeEndpoint	准許建立新的代理程式執行期端點	寫入	runtime*
CreateAgentRuntimeEndpoint	准許建立新的代理程式執行期端點	寫入		aws:RequestTag/${TagKey} aws:TagKeys
CreateApiKeyCredentialProvider	准許建立新的 API 金鑰登入資料提供者	寫入	apikeycredentialprovider*
			token-vault*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateBrowser	准許建立新的自訂瀏覽器	寫入		aws:RequestTag/${TagKey} aws:TagKeys bedrock-agentcore:subnets bedrock-agentcore:securityGroups
CreateCodeInterpreter	准許建立新的自訂程式碼解譯器	寫入		aws:RequestTag/${TagKey} aws:TagKeys bedrock-agentcore:subnets bedrock-agentcore:securityGroups
CreateEvent	准許建立事件	寫入	memory*
CreateEvent	准許建立事件	寫入		bedrock-agentcore:sessionId bedrock-agentcore:actorId
CreateGateway	准許建立新的閘道	寫入		aws:RequestTag/${TagKey} aws:TagKeys	iam:PassRole
CreateGatewayTarget	准許在現有閘道中建立新的目標	寫入	gateway*
CreateMemory	准許建立記憶體資源	寫入		aws:RequestTag/${TagKey} aws:TagKeys	iam:PassRole
CreateOauth2CredentialProvider	准許建立新的登入資料提供者，以使用 OAuth2 通訊協定存取外部資源	寫入	oauth2credentialprovider*
			token-vault*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateWorkloadIdentity	准許建立新的工作負載身分	寫入	workload-identity*
			workload-identity-directory*
				aws:RequestTag/${TagKey} aws:TagKeys
DeleteAgentRuntime	准許刪除代理程式執行時間	寫入	runtime*
DeleteAgentRuntimeEndpoint	准許刪除代理程式執行期端點	寫入	runtime*
DeleteAgentRuntimeEndpoint	准許刪除代理程式執行期端點	寫入	runtime-endpoint*
DeleteApiKeyCredentialProvider	准許刪除已註冊的 API 金鑰登入資料提供者	寫入	apikeycredentialprovider*
DeleteApiKeyCredentialProvider	准許刪除已註冊的 API 金鑰登入資料提供者	寫入	token-vault*
DeleteBrowser	准許刪除自訂瀏覽器	寫入	browser-custom*
DeleteCodeInterpreter	准許刪除自訂程式碼解譯器	寫入	code-interpreter-custom*
DeleteEvent	准許刪除事件	寫入	memory*
DeleteEvent	准許刪除事件	寫入		bedrock-agentcore:sessionId bedrock-agentcore:actorId
DeleteGateway	准許刪除現有的閘道	寫入	gateway*
DeleteGatewayTarget	准許刪除現有的閘道目標	寫入	gateway*
DeleteMemory	准許刪除記憶體資源	寫入	memory*
DeleteMemoryRecord	准許刪除記憶體記錄	寫入	memory*
DeleteOauth2CredentialProvider	准許刪除已註冊的 OAuth2 登入資料提供者	寫入	oauth2credentialprovider*
DeleteOauth2CredentialProvider	准許刪除已註冊的 OAuth2 登入資料提供者	寫入	token-vault*
DeleteWorkloadIdentity	准許刪除已註冊的工作負載身分	寫入	workload-identity*
DeleteWorkloadIdentity	准許刪除已註冊的工作負載身分	寫入	workload-identity-directory*
GetAgentCard	准許擷取 A2A 的代理程式卡	閱讀	runtime*
GetAgentCard	准許擷取 A2A 的代理程式卡	閱讀	runtime-endpoint*
GetAgentRuntime	准許取得代理程式執行時間的詳細資訊	閱讀	runtime*
GetAgentRuntimeEndpoint	准許取得代理程式執行期端點的詳細資訊	閱讀	runtime*
GetAgentRuntimeEndpoint	准許取得代理程式執行期端點的詳細資訊	閱讀	runtime-endpoint*
GetApiKeyCredentialProvider	准許依其名稱擷取已註冊的 API 金鑰登入資料提供者	閱讀	apikeycredentialprovider*
GetApiKeyCredentialProvider	准許依其名稱擷取已註冊的 API 金鑰登入資料提供者	閱讀	token-vault*
GetBrowser	准許取得瀏覽器的詳細資訊	閱讀	browser-custom*
GetBrowserSession	准許取得瀏覽器工作階段的詳細資訊	閱讀	browser*
GetBrowserSession	准許取得瀏覽器工作階段的詳細資訊	閱讀	browser-custom*
GetCodeInterpreter	准許取得程式碼解譯器的詳細資訊	閱讀	code-interpreter-custom*
GetCodeInterpreterSession	准許取得程式碼解譯器工作階段的詳細資訊	閱讀	code-interpreter*
GetCodeInterpreterSession	准許取得程式碼解譯器工作階段的詳細資訊	閱讀	code-interpreter-custom*
GetEvent	准許擷取事件	閱讀	memory*
GetEvent	准許擷取事件	閱讀		bedrock-agentcore:sessionId bedrock-agentcore:actorId
GetGateway	准許擷取現有的閘道	閱讀	gateway*
GetGatewayTarget	准許擷取現有的閘道目標	閱讀	gateway*
GetMemory	准許擷取記憶體資源的詳細資訊	閱讀	memory*
GetMemoryRecord	准許擷取記憶體記錄	閱讀	memory*
GetOauth2CredentialProvider	准許依註冊的 OAuth2 登入資料提供者名稱來擷取其名稱	閱讀	oauth2credentialprovider*
GetOauth2CredentialProvider	准許依註冊的 OAuth2 登入資料提供者名稱來擷取其名稱	閱讀	token-vault*
GetResourceApiKey	准許擷取與 Api 金鑰登入資料提供者相關聯的 API 金鑰	閱讀	apikeycredentialprovider*
			token-vault*
			workload-identity*
			workload-identity-directory*
GetResourceOauth2Token	准許使用 OAuth2 2LO 或 3LO 流程擷取存取字符，以存取外部資源	閱讀	oauth2credentialprovider*
			token-vault*
			workload-identity*
			workload-identity-directory*
GetTokenVault	准許擷取 TokenVault 的目前組態，包括加密設定	閱讀	token-vault*
GetWorkloadAccessToken	准許擷取未代表使用者的代理工作負載的工作負載存取權杖	寫入	workload-identity*
GetWorkloadAccessToken	准許擷取未代表使用者的代理工作負載的工作負載存取權杖	寫入	workload-identity-directory*
GetWorkloadAccessTokenForJWT	准許擷取代理程式工作負載存取字符，以代表使用 JWT 字符的使用者	寫入	workload-identity*
			workload-identity-directory*
				bedrock-agentcore:InboundJwtClaim/iss bedrock-agentcore:InboundJwtClaim/sub bedrock-agentcore:InboundJwtClaim/aud bedrock-agentcore:InboundJwtClaim/scope bedrock-agentcore:InboundJwtClaim/client_id
GetWorkloadAccessTokenForUserId	准許擷取代理程式工作負載的工作負載存取權杖，以代表具有使用者 ID 的使用者	寫入	workload-identity*
			workload-identity-directory*
				bedrock-agentcore:userid
GetWorkloadIdentity	准許擷取特定工作負載身分的詳細資訊，包括其名稱和允許的 OAuth2 傳回 URLs	閱讀	workload-identity*
GetWorkloadIdentity	准許擷取特定工作負載身分的詳細資訊，包括其名稱和允許的 OAuth2 傳回 URLs	閱讀	workload-identity-directory*
InvokeAgentRuntime	准許叫用代理程式執行期端點	寫入	runtime*
InvokeAgentRuntime	准許叫用代理程式執行期端點	寫入	runtime-endpoint*
InvokeAgentRuntimeForUser	准許使用 X-Amzn-Bedrock-AgentCore-Runtime-User-Id 標頭叫用代理程式執行期端點	寫入	runtime*
InvokeAgentRuntimeForUser	准許使用 X-Amzn-Bedrock-AgentCore-Runtime-User-Id 標頭叫用代理程式執行期端點	寫入	runtime-endpoint*
InvokeCodeInterpreter	准許叫用程式碼解譯器工作階段	寫入	code-interpreter*
InvokeCodeInterpreter	准許叫用程式碼解譯器工作階段	寫入	code-interpreter-custom*
InvokeGateway [僅限許可]	准許叫用閘道	許可管理	gateway*
ListActors	准許列出演員	清單	memory*
ListAgentRuntimeEndpoints	准許列出代理程式執行期端點	清單
ListAgentRuntimeVersions	准許列出代理程式執行時間版本	清單
ListAgentRuntimes	准許列出代理程式執行時間	清單
ListApiKeyCredentialProviders	准許列出字符保存庫中的所有 API 金鑰登入資料提供者	閱讀	apikeycredentialprovider*
ListApiKeyCredentialProviders	准許列出字符保存庫中的所有 API 金鑰登入資料提供者	閱讀	token-vault*
ListBrowserSessions	准許列出瀏覽器工作階段	清單
ListBrowsers	准許列出瀏覽器	清單
ListCodeInterpreterSessions	准許列出程式碼解譯器工作階段	清單	code-interpreter*
ListCodeInterpreterSessions	准許列出程式碼解譯器工作階段	清單	code-interpreter-custom*
ListCodeInterpreters	准許列出程式碼解譯器	清單
ListEvents	准許列出事件	清單	memory*
ListEvents	准許列出事件	清單		bedrock-agentcore:sessionId bedrock-agentcore:actorId
ListGatewayTargets	准許列出現有的閘道目標	清單	gateway*
ListGateways	准許列出現有的閘道	清單
ListMemories	准許列出記憶體資源	清單
ListMemoryRecords	准許列出記憶體記錄	清單	memory*
ListMemoryRecords	准許列出記憶體記錄	清單		bedrock-agentcore:namespace bedrock-agentcore:strategyId
ListOauth2CredentialProviders	准許列出字符保存庫中的所有 OAuth2 登入資料提供者	閱讀	oauth2credentialprovider*
ListOauth2CredentialProviders	准許列出字符保存庫中的所有 OAuth2 登入資料提供者	閱讀	token-vault*
ListSessions	准許列出工作階段	清單	memory*
ListSessions	准許列出工作階段	清單		bedrock-agentcore:actorId
ListTagsForResource	准許列出 Bedrock-AgentCore 資源的標籤	清單	apikeycredentialprovider
			browser-custom
			code-interpreter-custom
			gateway
			memory
			oauth2credentialprovider
			runtime
			runtime-endpoint
			token-vault
			workload-identity
			workload-identity-directory
ListWorkloadIdentities	准許列出發起人中的所有工作負載身分 AWS 帳戶	閱讀	workload-identity*
ListWorkloadIdentities	准許列出發起人中的所有工作負載身分 AWS 帳戶	閱讀	workload-identity-directory*
RetrieveMemoryRecords	准許透過語意查詢擷取記憶體記錄	清單	memory*
RetrieveMemoryRecords	准許透過語意查詢擷取記憶體記錄	清單		bedrock-agentcore:namespace bedrock-agentcore:strategyId
SetTokenVaultCMK	准許將客戶受管金鑰 (CMK) 或服務受管金鑰與特定 TokenVault 建立關聯	閱讀	token-vault*
StartBrowserSession	准許啟動新的瀏覽器工作階段	寫入	browser*
StartBrowserSession	准許啟動新的瀏覽器工作階段	寫入	browser-custom*
StartCodeInterpreterSession	准許啟動新的程式碼解譯器工作階段	寫入	code-interpreter*
StartCodeInterpreterSession	准許啟動新的程式碼解譯器工作階段	寫入	code-interpreter-custom*
StopBrowserSession	准許停止瀏覽器工作階段	寫入	browser*
StopBrowserSession	准許停止瀏覽器工作階段	寫入	browser-custom*
StopCodeInterpreterSession	准許停止程式碼解譯器工作階段	寫入	code-interpreter*
StopCodeInterpreterSession	准許停止程式碼解譯器工作階段	寫入	code-interpreter-custom*
StopRuntimeSession	准許停止執行階段工作階段	寫入	runtime*
StopRuntimeSession	准許停止執行階段工作階段	寫入	runtime-endpoint*
SynchronizeGatewayTargets [僅限許可]	准許在閘道上啟用搜尋	許可管理	gateway*
TagResource	准許標記 Bedrock-AgentCore 資源	標記	apikeycredentialprovider
			browser-custom
			code-interpreter-custom
			gateway
			memory
			oauth2credentialprovider
			runtime
			runtime-endpoint
			token-vault
			workload-identity
			workload-identity-directory
				aws:TagKeys aws:RequestTag/${TagKey}
UntagResource	准許取消標記 Bedrock-AgentCore 資源	標記	apikeycredentialprovider
			browser-custom
			code-interpreter-custom
			gateway
			memory
			oauth2credentialprovider
			runtime
			runtime-endpoint
			token-vault
			workload-identity
			workload-identity-directory
				aws:TagKeys
UpdateAgentRuntime	准許更新代理程式執行時間	寫入	runtime*		iam:PassRole
UpdateAgentRuntime	准許更新代理程式執行時間	寫入		bedrock-agentcore:subnets bedrock-agentcore:securityGroups
UpdateAgentRuntimeEndpoint	准許更新代理程式執行期端點	寫入	runtime*
UpdateAgentRuntimeEndpoint	准許更新代理程式執行期端點	寫入	runtime-endpoint*
UpdateApiKeyCredentialProvider	准許更新現有的 API 金鑰登入資料提供者	寫入	apikeycredentialprovider*
UpdateApiKeyCredentialProvider	准許更新現有的 API 金鑰登入資料提供者	寫入	token-vault*
UpdateBrowserStream	准許更新瀏覽器工作階段串流的狀態	寫入	browser*
UpdateBrowserStream	准許更新瀏覽器工作階段串流的狀態	寫入	browser-custom*
UpdateGateway	准許更新現有的閘道	寫入	gateway*		iam:PassRole
UpdateGatewayTarget	准許更新現有的閘道目標	寫入	gateway*
UpdateMemory	准許更新記憶體資源	寫入	memory*		iam:PassRole
UpdateOauth2CredentialProvider	准許更新現有的 OAuth2 登入資料提供者	寫入	oauth2credentialprovider*
UpdateOauth2CredentialProvider	准許更新現有的 OAuth2 登入資料提供者	寫入	token-vault*
UpdateWorkloadIdentity	准許更新現有工作負載身分的中繼資料	寫入	workload-identity*
UpdateWorkloadIdentity	准許更新現有工作負載身分的中繼資料	寫入	workload-identity-directory*

Amazon Bedrock Agentcore 定義的資源類型

此服務會定義下列資源類型，並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊，請參閱資源類型資料表。

資源類型	ARN	條件索引鍵
memory	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:memory/${MemoryId}`	aws:ResourceTag/${TagKey}
gateway	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:gateway/${GatewayId}`	aws:ResourceTag/${TagKey}
workload-identity	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}/workload-identity/${WorkloadIdentityName}`	aws:ResourceTag/${TagKey}
oauth2credentialprovider	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/oauth2credentialprovider/${Name}`	aws:ResourceTag/${TagKey}
apikeycredentialprovider	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/apikeycredentialprovider/${Name}`	aws:ResourceTag/${TagKey}
runtime	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}`	aws:ResourceTag/${TagKey}
runtime-endpoint	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}/runtime-endpoint/${Name}`	aws:ResourceTag/${TagKey}
code-interpreter-custom	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:code-interpreter-custom/${CodeInterpreterId}`	aws:ResourceTag/${TagKey}
code-interpreter	`arn:${Partition}:bedrock-agentcore:${Region}:aws:code-interpreter/${CodeInterpreterId}`
browser-custom	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:browser-custom/${BrowserId}`	aws:ResourceTag/${TagKey}
browser	`arn:${Partition}:bedrock-agentcore:${Region}:aws:browser/${BrowserId}`
workload-identity-directory	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}`	aws:ResourceTag/${TagKey}
token-vault	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}`	aws:ResourceTag/${TagKey}

Amazon Bedrock Agentcore 的條件索引鍵

Amazon Bedrock Agentcore 定義了下列條件索引鍵，可用於 IAM 政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊，請參閱條件索引鍵表。

若要檢視所有服務可用的全域條件索引鍵，請參閱AWS 全域條件內容索引鍵。

條件索引鍵	描述	類型
aws:RequestTag/${TagKey}	透過根據每個強制標籤的允許值集建立請求來篩選存取權	String
aws:ResourceTag/${TagKey}	透過根據與資源關聯的標籤值執行動作來篩選存取權	String
aws:TagKeys	透過根據請求中是否存在強制標籤建立請求來篩選存取權	ArrayOfString
bedrock-agentcore:GatewayAuthorizerType	依閘道上的 authorizerType 屬性篩選存取權	String
bedrock-agentcore:InboundJwtClaim/aud	依請求中傳遞的 JWT 中的對象宣告 (aud) 篩選存取權	ArrayOfString
bedrock-agentcore:InboundJwtClaim/client_id	在請求中傳遞的 JWT 中，依 client_id 宣告篩選存取權	String
bedrock-agentcore:InboundJwtClaim/iss	依在請求中傳遞的 JWT 中存在的發行者 (iss) 宣告篩選存取權	String
bedrock-agentcore:InboundJwtClaim/scope	依請求中傳遞的 JWT 中的範圍宣告篩選存取權	ArrayOfString
bedrock-agentcore:InboundJwtClaim/sub	依請求中傳遞的 JWT 中的主體宣告（子）篩選存取權	String
bedrock-agentcore:actorId	依演員 ID 篩選存取權	String
bedrock-agentcore:namespace	依命名空間篩選存取權	String
bedrock-agentcore:securityGroups	依針對 AgentCore 執行時間設定的安全群組 ID 篩選存取權	ArrayOfString
bedrock-agentcore:sessionId	依工作階段 ID 篩選存取權	String
bedrock-agentcore:strategyId	依記憶體策略 ID 篩選存取權	String
bedrock-agentcore:subnets	依為 AgentCore 執行時間設定的子網路 ID 篩選存取權	ArrayOfString
bedrock-agentcore:userid	依請求中傳遞的靜態使用者 ID 值篩選存取權	String

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Amazon Bedrock

AWS Billing