翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Bedrock Marketplace モデルへのアクセス制御
<a name="control-amazon-bedrock-marketplace"></a>

[Amazon Bedrock フルアクセスポリシー](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockFullAccess.html)を使用して、SageMaker AI にアクセス許可を付与できます。他のすべてのモデルへのユーザーのアクセスを維持しながら、ユーザーが特定の Bedrock Marketplace モデルにアクセスできないようにするには、拒否ポリシーを使用します。次のポリシーは、特定のモデルへのアクセスを拒否する方法を説明しています。

特定のモデルへのアクセスの拒否:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MarketplaceModelDeny",
            "Effect": "Deny",
            "Action": [
                "sagemaker:*",
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:sagemaker:*:*:endpoint/*",
                "arn:aws:sagemaker:*:*:endpoint-config/*",
                "arn:aws:sagemaker:*:*:model/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/{{model-id-to-deny}}/*"
                }
            }
        }
    ]
}
```

**重要**  
このポリシーは、指定されたモデルへのアクセスを明示的に拒否しながら、他のすべての Bedrock Marketplace モデルへのアクセスを許可します (他の必要なアクセス許可が設定されていることを前提としています)。

**特定のモデルへのアクセスの許可**

ユーザーが特定の Bedrock Marketplace モデルのみにアクセスできるように制限するには、明示的にモデルを指定した許可ポリシーを使用します。次のポリシーは、特定のモデルのみへのアクセスを許可する方法を説明しています。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MarketplaceModelAllow",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateEndpoint",
                "sagemaker:CreateEndpointConfig",
                "sagemaker:CreateModel",
                "sagemaker:DeleteEndpoint",
                "sagemaker:UpdateEndpoint"
            ],
            "Resource": [
                "arn:aws:sagemaker:*:*:endpoint/*",
                "arn:aws:sagemaker:*:*:endpoint-config/*",
                "arn:aws:sagemaker:*:*:model/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "bedrock.amazonaws.com",
                    "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
                },
                "StringLike": {
                    "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/<model-id-to-allow>/*"
                }
            }
        },
        {
            "Sid": "BedrockEndpointTaggingOperations",
            "Effect": "Allow",
            "Action": [
                "sagemaker:AddTags",
                "sagemaker:DeleteTags"
            ],
            "Resource": [
                "arn:aws:sagemaker:*:*:endpoint/*",
                "arn:aws:sagemaker:*:*:endpoint-config/*",
                "arn:aws:sagemaker:*:*:model/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/<model-id-to-allow>/*"
                }
            }
        }
    ]
}
```

------

このポリシーは、指定されたモデルへのアクセスのみを許可し、他のすべてのモデルへのアクセスを拒否します。`AmazonBedrockFullAccess` に基づいてポリシーを作成する場合は、`MarketplaceModelEndpointMutatingAPIs` ステートメントと `BedrockEndpointTaggingOperations` ステートメントをこのポリシーに置き換える必要があります。