Amazon Bedrock Studio のサービスロールを作成する - Amazon Bedrock
信頼関係Amazon Bedrock Studio ワークスペースを管理するアクセス許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Bedrock Studio のサービスロールを作成する

Amazon Bedrock Studio は Amazon Bedrock のプレビューリリースであり、変更される可能性があります。

Amazon Bedrock Studio ワークスペースを管理するには、Amazon がワークスペース DataZone を管理できるようにするサービスロールを作成する必要があります。

Amazon Bedrock Studio のサービスロールを使用するには、IAM「 サービスにアクセス許可を委任するロールの作成」の手順に従って、 AWS ロールを作成し、次のアクセス許可をアタッチします。

信頼関係

次のポリシーでは、Amazon Bedrock がこのロールを引き受け、Amazon で Amazon Bedrock Studio ワークスペースを管理できるようにします DataZone。使用するポリシーの例を下記に示します。

  • aws:SourceAccount 値を AWS アカウント ID に設定します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "datazone.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account ID"
        },
        "ForAllValues:StringLike": {
          "aws:TagKeys": "datazone*"
        }
      }
    }
  ]
}

Amazon Bedrock Studio ワークスペースを管理するアクセス許可

Amazon Bedrock Studio のメインサービスロールのデフォルトポリシー。Amazon Bedrock はこのロールを使用して、Bedrock Studio で Amazon とリソースを構築、実行、共有します DataZone。

このポリシーは、以下のアクセス許可のセットで構成されます。

  • datazone — Amazon Bedrock Studio によって管理される Amazon DataZone リソースへのアクセスを許可します。

  • ram — 所有しているリソース共有の関連付けを取得できます。

  • bedrock — Amazon Bedrock 基盤モデルを呼び出す機能を付与します。

  • kms — カスタマーマネージドキーを使用して Amazon Bedrock Studio データを暗号化 AWS KMS するために使用するアクセス許可を付与します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "GetDataZoneDomain",
      "Effect": "Allow",
      "Action": "datazone:GetDomain",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/AmazonBedrockManaged": "true"
        }
      }
    },
    {
      "Sid": "ManageDataZoneResources",
      "Effect": "Allow",
      "Action": [
        "datazone:ListProjects",
        "datazone:GetProject",
        "datazone:CreateProject",
        "datazone:UpdateProject",
        "datazone:DeleteProject",
        "datazone:ListProjectMemberships",
        "datazone:CreateProjectMembership",
        "datazone:DeleteProjectMembership",
        "datazone:ListEnvironments",
        "datazone:GetEnvironment",
        "datazone:CreateEnvironment",
        "datazone:UpdateEnvironment",
        "datazone:DeleteEnvironment",
        "datazone:ListEnvironmentBlueprints",
        "datazone:GetEnvironmentBlueprint",
        "datazone:ListEnvironmentBlueprintConfigurations",
        "datazone:GetEnvironmentBlueprintConfiguration",
        "datazone:ListEnvironmentProfiles",
        "datazone:GetEnvironmentProfile",
        "datazone:CreateEnvironmentProfile",
        "datazone:UpdateEnvironmentProfile",
        "datazone:DeleteEnvironmentProfile",
        "datazone:GetEnvironmentCredentials",
        "datazone:ListGroupsForUser",
        "datazone:SearchUserProfiles",
        "datazone:SearchGroupProfiles",
        "datazone:GetUserProfile",
        "datazone:GetGroupProfile"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GetResourceShareAssociations",
      "Effect": "Allow",
      "Action": "ram:GetResourceShareAssociations",
      "Resource": "*"
    },
    {
      "Sid": "InvokeBedrockModels",
      "Effect": "Allow",
      "Action": [
        "bedrock:GetFoundationModelAvailability",
        "bedrock:InvokeModel",
        "bedrock:InvokeModelWithResponseStream"
      ],
      "Resource": "*"
    },
    {
      "Sid": "UseCustomerManagedKmsKey",
      "Effect": "Allow",
      "Action": [
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/EnableBedrock": "true"
        }
      }
    }
  ]
}