As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controlar o acesso aos modelos do Amazon Bedrock Marketplace
Você pode usar a [política de acesso total do Amazon Bedrock](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockFullAccess.html) para fornecer permissões à SageMaker IA. Para evitar que os usuários acessem modelos específicos do Bedrock Marketplace e, ao mesmo tempo, mantenham o acesso a todos os outros modelos, use uma política de negação. A política a seguir demonstra como negar acesso a um modelo específico.
Negar acesso a modelos específicos:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "MarketplaceModelDeny",
"Effect": "Deny",
"Action": [
"sagemaker:*",
"bedrock:*"
],
"Resource": [
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:model/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/{{model-id-to-deny}}/*"
}
}
}
]
}
```
**Importante**
Essa política nega explicitamente o acesso ao modelo especificado, ao mesmo tempo em que permite o acesso a todos os outros modelos do Bedrock Marketplace (supondo que outras permissões necessárias estejam em vigor).
**Permitir acesso somente a modelos específicos**
Para restringir os usuários a acessar somente modelos específicos do Bedrock Marketplace, use uma política de permissão com especificações de modelo explícitas. A seguinte política demonstra como permitir acesso somente a modelos específicos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MarketplaceModelAllow",
"Effect": "Allow",
"Action": [
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateModel",
"sagemaker:DeleteEndpoint",
"sagemaker:UpdateEndpoint"
],
"Resource": [
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:model/*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "bedrock.amazonaws.com",
"aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
},
"StringLike": {
"aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model//*"
}
}
},
{
"Sid": "BedrockEndpointTaggingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags",
"sagemaker:DeleteTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:model/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model//*"
}
}
}
]
}
```
------
Essa política só permite acesso ao modelo especificado e nega acesso a todos os outros modelos. Se você basear sua política em `AmazonBedrockFullAccess`, é necessário substituir as declarações `MarketplaceModelEndpointMutatingAPIs` e `BedrockEndpointTaggingOperations`.