本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon 基岩项目的 IAM 政策
<a name="security-iam-projects"></a>

您可以使用 IAM 策略来控制对 Amazon Bedrock Projects 资源的访问权限。这些是您附加到 IAM 用户、群组或角色的基于 IAM 身份的标准 IAM 策略。这些策略使用`Resource`元素将权限范围限定为特定的项目 ARN。有关创建和管理 IAM 策略的一般信息，请参阅 [IAM *用户指南中的管理 IAM* 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)。

## 项目的 IAM 策略示例
<a name="security-iam-projects-examples"></a>

以下示例显示了授予对 Bedrock Projects 资源的访问权限的 IAM 策略文档。使用 IAM 控制台、CLI 或 API 将这些策略附加到 IAM 用户、群组或角色。

### 拒绝项目创建
<a name="security-iam-projects-deny-create"></a>

以下策略禁止用户创建新项目：

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "DenyProjectCreation",
            "Effect": "Deny",
            "Action": "bedrock-mantle:CreateProject",
            "Resource": "*"
        }
    ]
}
```

### Read-only 访问项目
<a name="security-iam-projects-readonly"></a>

以下策略授予对特定项目的只读访问权限：

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "ReadOnlyProjectAccess",
            "Effect": "Allow",
            "Action": [
                "bedrock-mantle:GetProject",
                "bedrock-mantle:ListProjects",
                "bedrock-mantle:ListTagsForResources",
                "bedrock-mantle:CreateInference"
            ],
            "Resource": "arn:aws:bedrock-mantle:us-east-1:123456789012:project/proj_abc123"
        }
    ]
}
```

### 对项目的完全访问权限
<a name="security-iam-projects-full-access"></a>

以下政策授予对特定项目的所有 Bedrock Projects 操作的完全访问权限：

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "FullProjectAccess",
            "Effect": "Allow",
            "Action": "bedrock-mantle:*",
            "Resource": "arn:aws:bedrock-mantle:us-east-1:123456789012:project/proj_abc123"
        }
    ]
}
```