Activer plusieurs vérifications (politique d’autorisation et limites) pour s’assurer que le rôle est privilégié dans AWS/Bedrock

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Utilisez une propriété système pour déterminer quelles vérifications sont utilisées pour vérifier si un rôle est autorisé à effectuer une opération privilégiée.

    AWS Permission peut être défini à l’aide de stratégies Identity and Access Management (IAM) telles que bedrock :InvokeModel qui permettent à une application d’appeler la fonction InvokeModel sur tous les modèles disponibles dans toutes les régions. La limite dans Bedrock est utilisée pour limiter l’autorisation maximale telle que Limit bedrock :InvokeModel au modèle haiku-3.5 et à des régions spécifiques.

    La sn_ai_security.bedrock_priviledge.permission_policy propriété système détermine si une application vérifie à la fois la politique IAM et la configuration des limites du substratum rocheux pour vérifier si un rôle est autorisé à effectuer une opération privilégiée.

    Cette propriété active plusieurs vérifications (politique d’autorisation et limites) pour s’assurer que le rôle est privilégié dans AWS/Bedrock. S’il n’est pas défini sur la valeur recommandée faux, l’application s’appuie uniquement sur la politique IAM pour décider si un rôle est privilégié.

    Définissez la sn_ai_security.bedrock_priviledge.permission_policy propriété système sur faux ou assurez-vous qu’elle n’existe pas dans la table Propriétés système [sys_properties] pour garantir une défense en profondeur.

    En savoir plus

    Attribut Description
    Nom de la configuration sn_ai_security.bedrock_priviledge.permission_policy
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données Booléen
    Valeur recommandée faux
    Valeur par défaut Faux
    Valeur de secours Faux
    Catégorie Contrôle d'accès
    Risque de sécurité
    • Score de gravité : 4,8
    • Score CVSS : moyen
    • Détails du risque de sécurité : accès non autorisé involontaire à toutes les ressources dans le cadre d’une politique IAM sur AWS Bedrock et dans plusieurs régions. Cela pourrait inclure tous les modèles d’IA disponibles dans toutes les régions d’AWS.
    Impact fonctionnel En fonction de la valeur de la propriété, l’application vérifie soit la politique IAM uniquement dans AWS, soit la configuration des limites dans AWS/Bedrock ainsi que la politique IAM afin de vérifier si un rôle associé à une demande est privilégié ou non.
    Dépendances et prérequis Aucun