@shinyaz

AgentCore Policyで条件なしのCedar permitはOverly Permissiveで自動拒否される

約1分
#agentcore#bedrock#cedar#aws

AgentCore Policyで「まず全許可で動作確認して、あとから条件を絞ろう」と思い、when句なしのpermitを作成したらCREATE_FAILEDになった。

permit(
  principal,
  action == AgentCore::Action::"my-target___get_weather",
  resource == AgentCore::Gateway::"arn:aws:bedrock-agentcore:..."
);

ステータスがCREATE_FAILEDになり、理由は以下の通り。

Overly Permissive: Policy Engine will allow every request for the specified
principal (AgentCore::OAuthUser), action (my-target___get_weather) and
resource (arn:aws:bedrock-agentcore:...) combination if the policy is added

create_policy APIのデフォルトvalidationModeFAIL_ON_ANY_FINDINGSで、自動推論エンジンが「このポリシーは過度に許可的だ」と判断して拒否している。when句で何らかの条件を付けるか、validationMode="IGNORE_ALL_FINDINGS"を明示する必要がある。

共有する

田原 慎也

田原 慎也

ソリューションアーキテクト @ AWS

AWS ソリューションアーキテクトとして金融業界のお客様を中心に技術支援を行っています。クラウドアーキテクチャや AI/ML に関する学びをこのサイトで発信しています。このサイトの内容は個人の見解であり、所属企業の公式な意見や見解を代表するものではありません。

もっと見る