Amazon Bedrock Agentcore 的動作、資源和條件索引鍵

Amazon Bedrock Agentcore （服務字首：bedrock-agentcore) 提供下列服務特定的資源、動作和條件內容索引鍵，可用於 IAM 許可政策。

參考資料：

了解如何設定此服務。
檢視可供此服務使用的 API 操作清單。
了解如何使用 IAM 許可政策來保護此服務及其資源。

主題

Amazon Bedrock Agentcore 定義的動作
Amazon Bedrock Agentcore 定義的資源類型
Amazon Bedrock Agentcore 的條件索引鍵

Amazon Bedrock Agentcore 定義的動作

您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時，通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過，在某些情況下，單一動作可控制對多個操作的存取。或者，某些操作需要多種不同的動作。

動作資料表的存取層級欄說明動作的分類方式（列出、讀取、許可管理或標記）。此分類可協助您了解在政策中使用某動作時，該動作授予您的存取層級。如需存取層級的詳細資訊，請參閱政策摘要中的存取層級。

「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值，您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型，則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源，呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取，則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要)，則您可以選擇使用其中一種選用資源類型。

「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊，請參閱「資源類型」資料表的條件索引鍵欄。

動作資料表的相依動作欄會顯示成功呼叫動作所需的其他許可。除了動作本身的許可之外，還可能需要這些許可。當動作指定相依動作時，這些相依性可能適用於針對該動作定義的其他資源，而不只是資料表中列出的第一個資源。

注意

資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄，其中包含套用至「動作」資料表中動作的資源條件索引鍵。

如需下表各欄的詳細資訊，請參閱動作資料表。

動作	描述	存取層級	資源類型 (*必填項目)	條件索引鍵	相依動作
AllowVendedLogDeliveryForResource [僅限許可]	准許設定資源的付費遙測	許可管理	memory*
AllowVendedLogDeliveryForResource [僅限許可]	准許設定資源的付費遙測	許可管理	payment-manager
AuthorizeAction [僅限許可]	准許評估授權請求的 Cedar 政策	許可管理	gateway*
AuthorizeAction [僅限許可]	准許評估授權請求的 Cedar 政策	許可管理	policy-engine*
BatchCreateMemoryRecords	准許建立一或多個記憶體記錄	寫入	memory*
BatchCreateMemoryRecords	准許建立一或多個記憶體記錄	寫入		bedrock-agentcore:namespace
BatchDeleteMemoryRecords	准許刪除一或多個記憶體記錄	寫入	memory*
BatchUpdateMemoryRecords	准許更新一或多個記憶體記錄	寫入	memory*
BatchUpdateMemoryRecords	准許更新一或多個記憶體記錄	寫入		bedrock-agentcore:namespace
CompleteResourceTokenAuth	准許使用 OAuth2 for 3LO 流程擷取存取字符，以存取外部資源	讀取	oauth2credentialprovider*
			token-vault*
			workload-identity*
			workload-identity-directory*
				bedrock-agentcore:InboundJwtClaim/iss bedrock-agentcore:InboundJwtClaim/sub bedrock-agentcore:InboundJwtClaim/aud bedrock-agentcore:InboundJwtClaim/scope bedrock-agentcore:InboundJwtClaim/client_id bedrock-agentcore:userid
ConnectBrowserAutomationStream	准許連線至瀏覽器自動化串流	讀取
ConnectBrowserLiveViewStream	准許連線至瀏覽器即時檢視串流	讀取
CreateABTest	准許建立 A/B 測試	寫入			iam:PassRole
CreateAgentRuntime	准許建立新的代理程式執行時間	寫入		aws:RequestTag/${TagKey} aws:TagKeys bedrock-agentcore:subnets bedrock-agentcore:securityGroups bedrock-agentcore:RuntimeAuthorizerType	iam:PassRole
CreateAgentRuntimeEndpoint	准許建立新的代理程式執行期端點	寫入	runtime*
CreateAgentRuntimeEndpoint	准許建立新的代理程式執行期端點	寫入		aws:RequestTag/${TagKey} aws:TagKeys
CreateApiKeyCredentialProvider	准許建立新的 API 金鑰登入資料提供者	寫入	apikeycredentialprovider*
			token-vault*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateBrowser	准許建立新的自訂瀏覽器	寫入		aws:RequestTag/${TagKey} aws:TagKeys bedrock-agentcore:subnets bedrock-agentcore:securityGroups
CreateBrowserProfile	准許建立新的瀏覽器設定檔	寫入		aws:RequestTag/${TagKey} aws:TagKeys
CreateCodeInterpreter	准許建立新的自訂程式碼解譯器	寫入		aws:RequestTag/${TagKey} aws:TagKeys bedrock-agentcore:subnets bedrock-agentcore:securityGroups
CreateConfigurationBundle	准許建立新的組態套件	寫入
CreateEvaluator	准許建立新的評估器	寫入		aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys
CreateEvent	准許建立事件	寫入	memory*
CreateEvent	准許建立事件	寫入		bedrock-agentcore:sessionId bedrock-agentcore:actorId
CreateGateway	准許建立新的閘道	寫入		aws:RequestTag/${TagKey} aws:TagKeys	iam:PassRole
CreateGatewayRule	准許在現有閘道中建立新的規則	寫入	gateway*
CreateGatewayTarget	准許在現有閘道中建立新的目標	寫入	gateway*
CreateHarness	准許建立新的繫帶	寫入		aws:RequestTag/${TagKey} aws:TagKeys	bedrock-agentcore:CreateAgentRuntime bedrock-agentcore:GetAgentRuntime iam:PassRole
CreateMemory	准許建立記憶體資源	寫入		aws:RequestTag/${TagKey} aws:TagKeys bedrock-agentcore:KmsKeyArn	iam:PassRole
CreateOauth2CredentialProvider	准許建立新的登入資料提供者，以使用 OAuth2 通訊協定存取外部資源	寫入	oauth2credentialprovider*
			token-vault*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateOnlineEvaluationConfig	准許建立新的線上評估組態	寫入		aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys	iam:PassRole
CreatePaymentConnector	准許在付款管理員下建立新的付款連接器	寫入	payment-manager*
CreatePaymentCredentialProvider	准許建立新的付款登入資料提供者	寫入	paymentcredentialprovider*
			token-vault*
				aws:RequestTag/${TagKey} aws:TagKeys
CreatePaymentInstrument	准許建立新的付款工具	寫入	payment-manager*
CreatePaymentManager	准許建立新的付款管理員	寫入		aws:RequestTag/${TagKey} aws:TagKeys	iam:PassRole
CreatePaymentSession	准許建立新的付款工作階段	寫入	payment-manager*
CreatePolicy	准許在政策引擎中建立新的政策	寫入	policy-engine*
CreatePolicyEngine	准許建立新的政策引擎	寫入		aws:RequestTag/${TagKey} aws:TagKeys
CreateRegistry	准許建立新的登錄檔	寫入
CreateRegistryRecord	准許建立新的登錄檔記錄	寫入	registry*
CreateWorkloadIdentity	准許建立新的工作負載身分	寫入	workload-identity*
			workload-identity-directory*
				aws:RequestTag/${TagKey} aws:TagKeys
DeleteABTest	准許刪除 A/B 測試	寫入	ab-test*
DeleteAgentRuntime	准許刪除代理程式執行時間	寫入	runtime*
DeleteAgentRuntimeEndpoint	准許刪除代理程式執行期端點	寫入	runtime*
DeleteAgentRuntimeEndpoint	准許刪除代理程式執行期端點	寫入	runtime-endpoint*
DeleteApiKeyCredentialProvider	准許刪除已註冊的 API 金鑰登入資料提供者	寫入	apikeycredentialprovider*
DeleteApiKeyCredentialProvider	准許刪除已註冊的 API 金鑰登入資料提供者	寫入	token-vault*
DeleteBatchEvaluation	准許刪除批次評估	寫入	batch-evaluate*
DeleteBrowser	准許刪除自訂瀏覽器	寫入	browser-custom*
DeleteBrowserProfile	准許刪除瀏覽器設定檔	寫入	browser-profile*
DeleteCodeInterpreter	准許刪除自訂程式碼解譯器	寫入	code-interpreter-custom*
DeleteConfigurationBundle	准許刪除組態套件	寫入	configuration-bundle*
DeleteEvaluator	准許刪除評估器	寫入	evaluator*
DeleteEvent	准許刪除事件	寫入	memory*
DeleteEvent	准許刪除事件	寫入		bedrock-agentcore:sessionId bedrock-agentcore:actorId
DeleteGateway	准許刪除現有的閘道	寫入	gateway*
DeleteGatewayRule	准許刪除現有的閘道規則	寫入	gateway*
DeleteGatewayTarget	准許刪除現有的閘道目標	寫入	gateway*
DeleteHarness	准許刪除繫帶	寫入	harness*		bedrock-agentcore:DeleteAgentRuntime bedrock-agentcore:GetAgentRuntime iam:PassRole
DeleteMemory	准許刪除記憶體資源	寫入	memory*
DeleteMemoryRecord	准許刪除記憶體記錄	寫入	memory*
DeleteOauth2CredentialProvider	准許刪除已註冊的 OAuth2 登入資料提供者	寫入	oauth2credentialprovider*
DeleteOauth2CredentialProvider	准許刪除已註冊的 OAuth2 登入資料提供者	寫入	token-vault*
DeleteOnlineEvaluationConfig	准許刪除線上評估組態	寫入	online-evaluation-config*
DeletePaymentConnector	准許刪除付款連接器	寫入	payment-manager*
DeletePaymentCredentialProvider	准許刪除已註冊的付款登入資料提供者	寫入	paymentcredentialprovider*
DeletePaymentCredentialProvider	准許刪除已註冊的付款登入資料提供者	寫入	token-vault*
DeletePaymentInstrument	准許刪除付款工具	寫入	payment-manager*
DeletePaymentManager	准許刪除付款管理員	寫入	payment-manager*
DeletePaymentSession	准許刪除付款工作階段	寫入	payment-manager*
DeletePolicy	准許刪除政策	寫入	policy*
DeletePolicy	准許刪除政策	寫入	policy-engine*
DeletePolicyEngine	准許刪除政策引擎	寫入	policy-engine*
DeleteRecommendation	准許刪除建議	寫入	recommendation*
DeleteRegistry	准許刪除現有的登錄檔	寫入	registry*
DeleteRegistryRecord	准許刪除現有的登錄檔記錄	寫入	registry-record*
DeleteResourcePolicy	准許刪除 Bedrock 資源的資源型政策	寫入	gateway
			runtime
			runtime-endpoint
DeleteWorkloadIdentity	准許刪除已註冊的工作負載身分	寫入	workload-identity*
DeleteWorkloadIdentity	准許刪除已註冊的工作負載身分	寫入	workload-identity-directory*
Evaluate	准許使用評估器執行評估	寫入	evaluator*
GetABTest	准許取得 A/B 測試的詳細資訊	讀取	ab-test*
GetAgentCard	准許擷取 A2A 的代理程式卡	讀取	runtime*
GetAgentCard	准許擷取 A2A 的代理程式卡	讀取	runtime-endpoint*
GetAgentRuntime	准許取得代理程式執行時間的詳細資訊	讀取	runtime*
GetAgentRuntimeEndpoint	准許取得代理程式執行期端點的詳細資訊	讀取	runtime*
GetAgentRuntimeEndpoint	准許取得代理程式執行期端點的詳細資訊	讀取	runtime-endpoint*
GetApiKeyCredentialProvider	准許依其名稱擷取已註冊的 API 金鑰登入資料提供者	讀取	apikeycredentialprovider*
GetApiKeyCredentialProvider	准許依其名稱擷取已註冊的 API 金鑰登入資料提供者	讀取	token-vault*
GetBatchEvaluation	准許取得批次評估的詳細資訊	讀取	batch-evaluate*
GetBrowser	准許取得瀏覽器的詳細資訊	讀取	browser-custom*
GetBrowserProfile	准許取得瀏覽器設定檔的詳細資訊	讀取	browser-profile*
GetBrowserSession	准許取得瀏覽器工作階段的詳細資訊	讀取	browser*
GetBrowserSession	准許取得瀏覽器工作階段的詳細資訊	讀取	browser-custom*
GetCodeInterpreter	准許取得程式碼解譯器的詳細資訊	讀取	code-interpreter-custom*
GetCodeInterpreterSession	准許取得程式碼解譯器工作階段的詳細資訊	讀取	code-interpreter*
GetCodeInterpreterSession	准許取得程式碼解譯器工作階段的詳細資訊	讀取	code-interpreter-custom*
GetConfigurationBundle	准許取得組態套件的詳細資訊	讀取	configuration-bundle*
GetConfigurationBundleVersion	准許取得特定版本的組態套件	讀取	configuration-bundle*
GetEvaluator	准許取得評估者的詳細資訊	讀取	evaluator*
GetEvent	准許擷取事件	讀取	memory*
GetEvent	准許擷取事件	讀取		bedrock-agentcore:sessionId bedrock-agentcore:actorId
GetGateway	准許擷取現有的閘道	讀取	gateway*
GetGatewayRule	准許擷取現有的閘道規則	讀取	gateway*
GetGatewayTarget	准許擷取現有的閘道目標	讀取	gateway*
GetHarness	准許取得繫帶的詳細資訊	讀取	harness*
GetMemory	准許擷取記憶體資源的詳細資訊	讀取	memory*
GetMemoryRecord	准許擷取記憶體記錄	讀取	memory*
GetOauth2CredentialProvider	准許依其名稱擷取已註冊的 OAuth2 登入資料提供者	讀取	oauth2credentialprovider*
GetOauth2CredentialProvider	准許依其名稱擷取已註冊的 OAuth2 登入資料提供者	讀取	token-vault*
GetOnlineEvaluationConfig	准許取得線上評估組態的詳細資訊	讀取	online-evaluation-config*
GetPaymentConnector	准許擷取付款連接器的詳細資訊	讀取	payment-manager*
GetPaymentCredentialProvider	准許依名稱擷取已註冊的付款登入資料提供者	讀取	paymentcredentialprovider*
GetPaymentCredentialProvider	准許依名稱擷取已註冊的付款登入資料提供者	讀取	token-vault*
GetPaymentInstrument	准許擷取付款工具的詳細資訊	讀取	payment-manager*
GetPaymentInstrumentBalance	准許擷取付款工具的餘額	讀取	payment-manager*
GetPaymentManager	准許擷取付款管理員的詳細資訊	讀取	payment-manager*
GetPaymentSession	准許擷取付款工作階段的詳細資訊	讀取	payment-manager*
GetPolicy	准許擷取政策	讀取	policy*
GetPolicy	准許擷取政策	讀取	policy-engine*
GetPolicyEngine	准許擷取政策引擎	讀取	policy-engine*
GetPolicyEngineSummary	准許擷取政策引擎的摘要	讀取	policy-engine*
GetPolicyGeneration	准許擷取政策產生請求的狀態和結果	讀取	policy-engine*
GetPolicyGeneration	准許擷取政策產生請求的狀態和結果	讀取	policy-generation*
GetPolicyGenerationSummary	准許擷取政策產生請求的摘要	讀取	policy-engine*
GetPolicyGenerationSummary	准許擷取政策產生請求的摘要	讀取	policy-generation*
GetPolicySummary	准許擷取政策摘要	讀取	policy*
GetPolicySummary	准許擷取政策摘要	讀取	policy-engine*
GetRecommendation	准許取得建議的詳細資訊	讀取	recommendation*
GetRegistry	准許擷取現有的登錄檔	讀取	registry*
GetRegistryRecord	准許擷取現有的登錄檔記錄	讀取	registry-record*
GetResourceApiKey	准許擷取與 Api 金鑰登入資料提供者相關聯的 API 金鑰	讀取	apikeycredentialprovider*
			token-vault*
			workload-identity*
			workload-identity-directory*
GetResourceOauth2Token	准許使用 OAuth2 2LO 或 3LO 流程擷取存取字符，以存取外部資源	讀取	oauth2credentialprovider*
			token-vault*
			workload-identity*
			workload-identity-directory*
GetResourcePaymentToken	准許擷取與付款登入資料提供者相關聯的付款身分驗證字符	讀取	paymentcredentialprovider*
			token-vault*
			workload-identity*
			workload-identity-directory*
GetResourcePolicy	准許擷取 Bedrock 資源的資源型政策	讀取	gateway
			runtime
			runtime-endpoint
GetTokenVault	准許擷取 TokenVault 的目前組態，包括加密設定	讀取	token-vault*
GetWorkloadAccessToken	准許擷取未代表使用者的代理工作負載的工作負載存取權杖	寫入	workload-identity*
GetWorkloadAccessToken	准許擷取未代表使用者的代理工作負載的工作負載存取權杖	寫入	workload-identity-directory*
GetWorkloadAccessTokenForJWT	准許擷取代理程式工作負載存取字符，以代表使用 JWT 字符的使用者	寫入	workload-identity*
			workload-identity-directory*
				bedrock-agentcore:InboundJwtClaim/iss bedrock-agentcore:InboundJwtClaim/sub bedrock-agentcore:InboundJwtClaim/aud bedrock-agentcore:InboundJwtClaim/scope bedrock-agentcore:InboundJwtClaim/client_id
GetWorkloadAccessTokenForUserId	准許擷取代理程式工作負載的工作負載存取權杖，以代表具有使用者 ID 的使用者	寫入	workload-identity*
			workload-identity-directory*
				bedrock-agentcore:userid
GetWorkloadIdentity	准許擷取特定工作負載身分的詳細資訊，包括其名稱和允許的 OAuth2 傳回 URLs	讀取	workload-identity*
GetWorkloadIdentity	准許擷取特定工作負載身分的詳細資訊，包括其名稱和允許的 OAuth2 傳回 URLs	讀取	workload-identity-directory*
InvokeAgentRuntime	准許叫用代理程式執行期端點	寫入	runtime*
InvokeAgentRuntime	准許叫用代理程式執行期端點	寫入	runtime-endpoint*
InvokeAgentRuntimeCommand	准許在代理程式執行期端點上叫用命令	寫入	runtime*
InvokeAgentRuntimeCommand	准許在代理程式執行期端點上叫用命令	寫入	runtime-endpoint*
InvokeAgentRuntimeForUser	准許使用 X-Amzn-Bedrock-AgentCore-Runtime-User-Id 標頭叫用代理程式執行期端點	寫入	runtime*
InvokeAgentRuntimeForUser	准許使用 X-Amzn-Bedrock-AgentCore-Runtime-User-Id 標頭叫用代理程式執行期端點	寫入	runtime-endpoint*
InvokeAgentRuntimeWithWebSocketStream	准許使用 WebSocket 串流叫用代理程式執行期端點	寫入	runtime*
InvokeAgentRuntimeWithWebSocketStream	准許使用 WebSocket 串流叫用代理程式執行期端點	寫入	runtime-endpoint*
InvokeAgentRuntimeWithWebSocketStreamForUser	准許使用 WebSocket 串流和 X-Amzn-Bedrock-AgentCore-Runtime-User-Id 標頭叫用代理程式執行期端點	寫入	runtime*
InvokeAgentRuntimeWithWebSocketStreamForUser		寫入	runtime-endpoint*
InvokeCodeInterpreter	准許叫用程式碼解譯器工作階段	寫入	code-interpreter*
InvokeCodeInterpreter	准許叫用程式碼解譯器工作階段	寫入	code-interpreter-custom*
InvokeGateway [僅限許可]	准許叫用閘道	許可管理	gateway*
InvokeHarness	准許叫用繫帶	寫入	harness*		bedrock-agentcore:InvokeAgentRuntime
InvokeRegistryMcp	准許針對現有的登錄檔叫用 MCP 操作	讀取	registry*
ListABTests	准許列出 A/B 測試	清單
ListActors	准許列出演員	清單	memory*
ListAgentRuntimeEndpoints	准許列出代理程式執行時間端點	清單
ListAgentRuntimeVersions	准許列出代理程式執行時間版本	清單
ListAgentRuntimes	准許列出代理程式執行時間	清單
ListApiKeyCredentialProviders	准許列出字符保存庫中的所有 API 金鑰登入資料提供者	讀取	apikeycredentialprovider*
ListApiKeyCredentialProviders	准許列出字符保存庫中的所有 API 金鑰登入資料提供者	讀取	token-vault*
ListBatchEvaluations	准許列出批次評估	清單
ListBrowserProfiles	准許列出瀏覽器設定檔	清單
ListBrowserSessions	准許列出瀏覽器工作階段	清單
ListBrowsers	准許列出瀏覽器	清單
ListCodeInterpreterSessions	准許列出程式碼解譯器工作階段	清單	code-interpreter*
ListCodeInterpreterSessions	准許列出程式碼解譯器工作階段	清單	code-interpreter-custom*
ListCodeInterpreters	准許列出程式碼解譯器	清單
ListConfigurationBundleVersions	准許列出組態套件的版本	清單	configuration-bundle*
ListConfigurationBundles	准許列出組態套件	清單
ListEvaluators	准許列出評估者	清單
ListEvents	准許列出事件	清單	memory*
ListEvents	准許列出事件	清單		bedrock-agentcore:sessionId bedrock-agentcore:actorId
ListGatewayRules	准許列出現有的閘道規則	清單	gateway*
ListGatewayTargets	准許列出現有的閘道目標	清單	gateway*
ListGateways	准許列出現有的閘道	清單
ListHarnesses	准許列出繫帶	清單
ListMemories	准許列出記憶體資源	清單
ListMemoryExtractionJobs	准許列出此記憶體的擷取任務	清單	memory*
ListMemoryRecords	准許列出記憶體記錄	清單	memory*
ListMemoryRecords	准許列出記憶體記錄	清單		bedrock-agentcore:namespace bedrock-agentcore:strategyId
ListOauth2CredentialProviders	准許列出字符保存庫中的所有 OAuth2 登入資料提供者	讀取	oauth2credentialprovider*
ListOauth2CredentialProviders	准許列出字符保存庫中的所有 OAuth2 登入資料提供者	讀取	token-vault*
ListOnlineEvaluationConfigs	准許列出線上評估組態	清單
ListPaymentConnectors	准許列出付款管理員下的付款連接器	清單	payment-manager*
ListPaymentCredentialProviders	准許列出字符文件庫中的所有付款登入資料提供者	清單	paymentcredentialprovider*
ListPaymentCredentialProviders	准許列出字符文件庫中的所有付款登入資料提供者	清單	token-vault*
ListPaymentInstruments	准許列出付款工具	清單	payment-manager*
ListPaymentManagers	准許列出付款管理員	清單
ListPaymentSessions	准許列出付款工作階段	清單	payment-manager*
ListPolicies	准許列出政策引擎內的政策	清單	policy-engine*
ListPolicyEngineSummaries	准許列出政策引擎摘要	清單
ListPolicyEngines	准許列出政策引擎	清單
ListPolicyGenerationAssets	准許從產生請求列出產生的政策資產	清單	policy-engine*
ListPolicyGenerationAssets	准許從產生請求列出產生的政策資產	清單	policy-generation*
ListPolicyGenerationSummaries	准許列出政策產生摘要	清單	policy-engine*
ListPolicyGenerations	准許列出政策產生請求	清單	policy-engine*
ListPolicySummaries	准許列出政策引擎內的政策摘要	清單	policy-engine*
ListRecommendations	准許列出建議	清單
ListRegistries	准許列出現有的登錄檔	清單
ListRegistryRecords	准許列出登錄檔中現有的登錄檔記錄	清單	registry*
ListSessions	准許列出工作階段	清單	memory*
ListSessions	准許列出工作階段	清單		bedrock-agentcore:actorId
ListTagsForResource	准許列出 Bedrock-AgentCore 資源的標籤	清單	apikeycredentialprovider
			browser-custom
			browser-profile
			code-interpreter-custom
			evaluator
			gateway
			harness
			memory
			oauth2credentialprovider
			online-evaluation-config
			payment-manager
			paymentcredentialprovider
			policy-engine
			runtime
			runtime-endpoint
			token-vault
			workload-identity
			workload-identity-directory
ListWorkloadIdentities	准許列出發起人中的所有工作負載身分 AWS 帳戶	讀取	workload-identity*
ListWorkloadIdentities	准許列出發起人中的所有工作負載身分 AWS 帳戶	讀取	workload-identity-directory*
ManageAdminPolicy [僅限許可]	准許建立或修改套用至閘道資源的萬用字元政策	許可管理
ManageResourceScopedPolicy [僅限許可]	准許建立或修改套用至特定閘道資源的政策	許可管理	gateway*
PartiallyAuthorizeActions [僅限許可]	准許對 Cedar 政策執行部分評估，以授權發起人列出允許他們呼叫的工具	許可管理	gateway*
PartiallyAuthorizeActions [僅限許可]	准許對 Cedar 政策執行部分評估，以授權發起人列出允許他們呼叫的工具	許可管理	policy-engine*
ProcessPayment	准許處理付款交易	寫入	payment-manager*
PutResourcePolicy	准許建立或更新 Bedrock 資源的資源型政策	寫入	gateway
			runtime
			runtime-endpoint
RetrieveMemoryRecords	准許透過語意查詢擷取記憶體記錄	清單	memory*
RetrieveMemoryRecords	准許透過語意查詢擷取記憶體記錄	清單		bedrock-agentcore:namespace bedrock-agentcore:strategyId
SaveBrowserSessionProfile	准許儲存瀏覽器工作階段設定檔	寫入	browser*
			browser-custom*
			browser-profile*
SearchRegistryRecords	准許搜尋登錄檔記錄	讀取	registry*
SetTokenVaultCMK	准許將客戶受管金鑰 (CMK) 或服務受管金鑰與特定 TokenVault 建立關聯	寫入	token-vault*
StartBatchEvaluation	准許開始批次評估	寫入
StartBrowserSession	准許啟動新的瀏覽器工作階段	寫入	browser*
			browser-custom*
			browser-profile
StartCodeInterpreterSession	准許啟動新的程式碼解譯器工作階段	寫入	code-interpreter*
StartCodeInterpreterSession	准許啟動新的程式碼解譯器工作階段	寫入	code-interpreter-custom*
StartMemoryExtractionJob	准許啟動記憶體擷取任務	寫入	memory*
StartMemoryExtractionJob	准許啟動記憶體擷取任務	寫入		bedrock-agentcore:strategyId bedrock-agentcore:sessionId bedrock-agentcore:actorId
StartPolicyGeneration	准許啟動 AI 驅動的政策產生請求	寫入	policy-engine*
StartRecommendation	准許啟動建議	寫入
StopBatchEvaluation	准許停止批次評估	寫入	batch-evaluate*
StopBrowserSession	准許停止瀏覽器工作階段	寫入	browser*
StopBrowserSession	准許停止瀏覽器工作階段	寫入	browser-custom*
StopCodeInterpreterSession	准許停止程式碼解譯器工作階段	寫入	code-interpreter*
StopCodeInterpreterSession	准許停止程式碼解譯器工作階段	寫入	code-interpreter-custom*
StopRuntimeSession	准許停止執行階段工作階段	寫入	runtime*
StopRuntimeSession	准許停止執行階段工作階段	寫入	runtime-endpoint*
SubmitRegistryRecordForApproval	准許提交登錄檔記錄以供核准	寫入	registry-record*
SynchronizeGatewayTargets [僅限許可]	准許在閘道上啟用搜尋	許可管理	gateway*
TagResource	准許標記 Bedrock-AgentCore 資源	標記	apikeycredentialprovider
			browser-custom
			browser-profile
			code-interpreter-custom
			evaluator
			gateway
			harness
			memory
			oauth2credentialprovider
			online-evaluation-config
			payment-manager
			paymentcredentialprovider
			policy-engine
			runtime
			runtime-endpoint
			token-vault
			workload-identity
			workload-identity-directory
				aws:TagKeys aws:RequestTag/${TagKey}
UntagResource	准許取消標記 Bedrock-AgentCore 資源	標記	apikeycredentialprovider
			browser-custom
			browser-profile
			code-interpreter-custom
			evaluator
			gateway
			harness
			memory
			oauth2credentialprovider
			online-evaluation-config
			payment-manager
			paymentcredentialprovider
			policy-engine
			runtime
			runtime-endpoint
			token-vault
			workload-identity
			workload-identity-directory
				aws:TagKeys
UpdateABTest	准許更新 A/B 測試	寫入	ab-test*		iam:PassRole
UpdateAgentRuntime	准許更新代理程式執行時間	寫入	runtime*		iam:PassRole
UpdateAgentRuntime	准許更新代理程式執行時間	寫入		bedrock-agentcore:subnets bedrock-agentcore:securityGroups bedrock-agentcore:RuntimeAuthorizerType
UpdateAgentRuntimeEndpoint	准許更新代理程式執行期端點	寫入	runtime*
UpdateAgentRuntimeEndpoint	准許更新代理程式執行期端點	寫入	runtime-endpoint*
UpdateApiKeyCredentialProvider	准許更新現有的 API 金鑰登入資料提供者	寫入	apikeycredentialprovider*
UpdateApiKeyCredentialProvider	准許更新現有的 API 金鑰登入資料提供者	寫入	token-vault*
UpdateBrowserStream	准許更新瀏覽器工作階段串流的狀態	寫入	browser*
UpdateBrowserStream	准許更新瀏覽器工作階段串流的狀態	寫入	browser-custom*
UpdateConfigurationBundle	准許更新組態套件	寫入	configuration-bundle*
UpdateEvaluator	准許更新評估器	寫入	evaluator*
UpdateGateway	准許更新現有的閘道	寫入	gateway*		iam:PassRole
UpdateGatewayRule	准許更新現有的閘道規則	寫入	gateway*
UpdateGatewayTarget	准許更新現有的閘道目標	寫入	gateway*
UpdateHarness	准許更新繫帶	寫入	harness*		bedrock-agentcore:GetAgentRuntime bedrock-agentcore:UpdateAgentRuntime iam:PassRole
UpdateMemory	准許更新記憶體資源	寫入	memory*		iam:PassRole
UpdateOauth2CredentialProvider	准許更新現有的 OAuth2 登入資料提供者	寫入	oauth2credentialprovider*
UpdateOauth2CredentialProvider	准許更新現有的 OAuth2 登入資料提供者	寫入	token-vault*
UpdateOnlineEvaluationConfig	准許更新線上評估組態	寫入	online-evaluation-config*		iam:PassRole
UpdatePaymentConnector	准許更新現有的付款連接器	寫入	payment-manager*
UpdatePaymentCredentialProvider	准許更新現有的付款登入資料提供者	寫入	paymentcredentialprovider*
UpdatePaymentCredentialProvider	准許更新現有的付款登入資料提供者	寫入	token-vault*
UpdatePaymentManager	准許更新現有的付款管理員	寫入	payment-manager*		iam:PassRole
UpdatePolicy	准許更新現有政策	寫入	policy*
UpdatePolicy	准許更新現有政策	寫入	policy-engine*
UpdatePolicyEngine	准許更新政策引擎	寫入	policy-engine*
UpdateRegistry	准許更新現有的登錄檔	寫入	registry*
UpdateRegistryRecord	准許更新現有的登錄檔記錄	寫入	registry-record*
UpdateRegistryRecordStatus	准許更新登錄檔記錄的狀態	寫入	registry-record*
UpdateWorkloadIdentity	准許更新現有工作負載身分的中繼資料	寫入	workload-identity*
UpdateWorkloadIdentity	准許更新現有工作負載身分的中繼資料	寫入	workload-identity-directory*

Amazon Bedrock Agentcore 定義的資源類型

此服務會定義下列資源類型，並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊，請參閱資源類型資料表。

資源類型	ARN	條件索引鍵
evaluator	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:evaluator/${EvaluatorId}`	aws:ResourceTag/${TagKey}
online-evaluation-config	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:online-evaluation-config/${OnlineEvaluationConfigId}`	aws:ResourceTag/${TagKey}
memory	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:memory/${MemoryId}`	aws:ResourceTag/${TagKey}
gateway	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:gateway/${GatewayId}`	aws:ResourceTag/${TagKey}
workload-identity	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}/workload-identity/${WorkloadIdentityName}`	aws:ResourceTag/${TagKey}
oauth2credentialprovider	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/oauth2credentialprovider/${Name}`	aws:ResourceTag/${TagKey}
apikeycredentialprovider	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/apikeycredentialprovider/${Name}`	aws:ResourceTag/${TagKey}
runtime	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}`	aws:ResourceTag/${TagKey}
runtime-endpoint	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:runtime/${RuntimeId}/runtime-endpoint/${Name}`	aws:ResourceTag/${TagKey}
code-interpreter-custom	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:code-interpreter-custom/${CodeInterpreterId}`	aws:ResourceTag/${TagKey}
code-interpreter	`arn:${Partition}:bedrock-agentcore:${Region}:aws:code-interpreter/${CodeInterpreterId}`
browser-custom	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:browser-custom/${BrowserId}`	aws:ResourceTag/${TagKey}
browser	`arn:${Partition}:bedrock-agentcore:${Region}:aws:browser/${BrowserId}`
browser-profile	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:browser-profile/${BrowserProfileId}`	aws:ResourceTag/${TagKey}
workload-identity-directory	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:workload-identity-directory/${DirectoryId}`	aws:ResourceTag/${TagKey}
token-vault	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}`	aws:ResourceTag/${TagKey}
policy-engine	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:policy-engine/${PolicyEngineId}`	aws:ResourceTag/${TagKey}
policy	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:policy-engine/${PolicyEngineId}/policy/${PolicyId}`
policy-generation	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:policy-engine/${PolicyEngineId}/policy-generation/${PolicyGenerationId}`
registry	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:registry/${RegistryId}`
registry-record	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:registry/${RegistryId}/record/${RecordId}`
harness	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:harness/${HarnessId}`	aws:ResourceTag/${TagKey}
batch-evaluate	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:batch-evaluate/${BatchEvaluationId}`
ab-test	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:ab-test/${ABTestId}`
recommendation	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:recommendation/${RecommendationId}`
configuration-bundle	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:configuration-bundle/${ConfigurationBundleId}`
payment-manager	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:payment-manager/${PaymentManagerId}`	aws:ResourceTag/${TagKey}
paymentcredentialprovider	`arn:${Partition}:bedrock-agentcore:${Region}:${Account}:token-vault/${TokenVaultId}/paymentcredentialprovider/${Name}`	aws:ResourceTag/${TagKey}

Amazon Bedrock Agentcore 的條件索引鍵

Amazon Bedrock Agentcore 定義了下列條件索引鍵，可用於 IAM 政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊，請參閱條件索引鍵表。

若要檢視所有服務可用的全域條件索引鍵，請參閱AWS 全域條件內容索引鍵。

條件索引鍵	描述	Type
aws:RequestTag/${TagKey}	透過根據每個強制標籤的允許值集建立請求來篩選存取權	String
aws:ResourceTag/${TagKey}	透過根據與資源關聯的標籤值執行動作來篩選存取權	String
aws:TagKeys	透過根據請求中是否存在強制標籤建立請求來篩選存取權	ArrayOfString
bedrock-agentcore:GatewayAuthorizerType	依閘道上的 authorizerType 屬性篩選存取權	String
bedrock-agentcore:InboundJwtClaim/aud	依請求中傳遞的 JWT 中的對象宣告 (aud) 篩選存取權	ArrayOfString
bedrock-agentcore:InboundJwtClaim/client_id	在請求中傳遞的 JWT 中，依 client_id 宣告篩選存取權	String
bedrock-agentcore:InboundJwtClaim/iss	依請求中傳遞的 JWT 中存在的發行者 (iss) 宣告篩選存取權	String
bedrock-agentcore:InboundJwtClaim/scope	依請求中傳遞的 JWT 中的範圍宣告篩選存取權	ArrayOfString
bedrock-agentcore:InboundJwtClaim/sub	依請求中傳遞的 JWT 中的主體宣告 (sub) 篩選存取權	String
bedrock-agentcore:KmsKeyArn	依提供的 KMS Key arn 篩選存取權	String
bedrock-agentcore:RuntimeAuthorizerType	依為 AgentCore 執行時間設定的授權方類型篩選存取權	String
bedrock-agentcore:actorId	依演員 ID 篩選存取權	String
bedrock-agentcore:namespace	依命名空間篩選存取權	String
bedrock-agentcore:securityGroups	依針對 AgentCore 執行時間設定的安全群組 ID 篩選存取權	ArrayOfString
bedrock-agentcore:sessionId	依工作階段 ID 篩選存取權	String
bedrock-agentcore:strategyId	依記憶體策略 ID 篩選存取權	String
bedrock-agentcore:subnets	依為 AgentCore 執行時間設定的子網路 ID 篩選存取權	ArrayOfString
bedrock-agentcore:userid	依請求中傳遞的靜態使用者 ID 值篩選存取權	String

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Amazon Bedrock

採用 AWS Mantle 技術的 Amazon Bedrock