亚马逊Bedrock基于身份策略设置指南：帮你省下不必要的成本支出

Amazon Bedrock 提供了一种强大的方式，通过 AWS 访问强大的机器学习模型。然而，和所有云服务一样，如果权限设置不当，这可能会导致用户访问他们不需要的资源，从而产生不必要的成本。在本文中，我们将引导您创建 基于身份的策略 以确保 Amazon Bedrock 的安全性，以确保安全同时减少费用。

在 AWS 中，身份策略允许您控制用户或角色可以在您的账户中的资源上执行哪些操作。默认情况下，您账户中的用户和角色没有权限创建、修改或访问 Amazon Bedrock 资源。作为 IAM 管理员，您可以创建并附加策略给用户，只为用户授予他们所需的具体权限——不多不少。

亚马逊Bedrock使用了会引发成本的机器学习模型。因此，给予用户无限制的访问权限可能会导致意外的费用。这时，最小权限策略就发挥作用了。这一原则确保用户只能访问他们需要的操作和资源，帮助你避免不必要的开支。

在看一些政策示例之前，让我们先介绍一些好做法，这些好做法可以帮助您在同时避免不必要的费用的情况下，控制对基础资源的访问权限。

1. 从 AWS 管理策略开始：AWS 提供了一套管理策略，涵盖了大多数常见用例。这些策略是很好的起点，但为了最大程度的安全性，你最终还是需要创建自定义策略来适应你的具体需求。
2. 遵循最小权限原则：只授予用户绝对必要的权限。例如，如果一个用户只需要调用特定的机器学习模型，不要给他们管理资源的权限。
3. 在 IAM 策略中使用条件：你可以在策略中添加条件，例如要求使用 SSL 连接或仅允许通过特定的 AWS 服务执行操作。条件进一步增强了安全性，并减少了资源误用的风险。
4. 验证你的 IAM 策略：AWS IAM 访问分析器可以验证你的策略，确保它们既安全又有效。

现在，让我们来看一些你可以为特定任务创建的示例策略，这些策略遵循最小权限原则。

这项政策允许用户查看与其IAM身份相关的政策，但限制他们更改其他用户的权限。这有助于提供透明度，同时保持安全性。

用户需要订阅第三方模型才能在Bedrock中使用它们。通过使用条件键，你可以控制他们能够订阅哪些模型。

为了防止用户在没有明确许可的情况下随意调用昂贵的机器学习模型，您可以制定一个策略来拒绝用户访问某些模型。

此策略示例允许用户使用一个预配置模型，但不让他们管理或修改。

为亚马逊Bedrock创建身份相关的策略至关重要，以确保用户只能访问他们需要的资源，避免不必要的费用，并保持安全的同时。通过遵循最佳实践，例如从AWS的管理策略开始，应用最小权限策略，并利用IAM条件，这样可以确保您的组织能够高效且安全地使用亚马逊Bedrock。

如果你是第一次使用Amazon Bedrock，请按照上述指南创建策略，这些策略不仅能确保必要的访问权限，还能避免不必要的费用。如需更多详情，请参阅IAM用户指南。