Amazon Bedrock Studio のサービスロールを作成する - Amazon Bedrock
信頼関係Amazon Bedrock Studio ワークスペースを管理するアクセス許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Bedrock Studio のサービスロールを作成する

Amazon Bedrock Studio は、Amazon Bedrock のプレビューリリースに含まれているため、変更される可能性があります。

Amazon Bedrock Studio のワークスペースを管理するには、Amazon DataZone がワークスペースを管理できるようにするサービスロールを作成する必要があります。

Amazon Bedrock Studio のサービスロールを使用するには、「AWS サービスにアクセス許可を委任するロールの作成」の手順に従って IAM ロールを作成し、以下のアクセス許可をアタッチします。

信頼関係

次のポリシーでは、Amazon Bedrock がこのロールを引き受け、Amazon DataZone を使用して Amazon Bedrock Studio のワークスペースを管理することを許可しています。使用するポリシーの例を下記に示します。

  • aws:SourceAccount の値を AWS アカウント ID に設定します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "datazone.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account ID"
        },
        "ForAllValues:StringLike": {
          "aws:TagKeys": "datazone*"
        }
      }
    }
  ]
}

Amazon Bedrock Studio ワークスペースを管理するアクセス許可

Amazon Bedrock Studio のメインサービスロールのデフォルトポリシー。Amazon Bedrock は、このロールを使用して、Bedrock Studio のリソースを Amazon DataZone で構築、実行、共有します。

このポリシーは、以下のアクセス許可のセットで構成されています。

  • datazone — Amazon Bedrock Studio によって管理される Amazon DataZone リソースへのアクセスを許可します。

  • ram — 所有しているリソース共有の関連付けを取得できます。

  • bedrock — Amazon Bedrock 基盤モデルを呼び出す機能を付与します。

  • kms — カスタマーマネージドキーを使用して Amazon Bedrock Studio データを暗号化するために AWS KMS を使用するアクセス許可を付与します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "GetDataZoneDomain",
      "Effect": "Allow",
      "Action": "datazone:GetDomain",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/AmazonBedrockManaged": "true"
        }
      }
    },
    {
      "Sid": "ManageDataZoneResources",
      "Effect": "Allow",
      "Action": [
        "datazone:ListProjects",
        "datazone:GetProject",
        "datazone:CreateProject",
        "datazone:UpdateProject",
        "datazone:DeleteProject",
        "datazone:ListProjectMemberships",
        "datazone:CreateProjectMembership",
        "datazone:DeleteProjectMembership",
        "datazone:ListEnvironments",
        "datazone:GetEnvironment",
        "datazone:CreateEnvironment",
        "datazone:UpdateEnvironment",
        "datazone:DeleteEnvironment",
        "datazone:ListEnvironmentBlueprints",
        "datazone:GetEnvironmentBlueprint",
        "datazone:ListEnvironmentBlueprintConfigurations",
        "datazone:GetEnvironmentBlueprintConfiguration",
        "datazone:ListEnvironmentProfiles",
        "datazone:GetEnvironmentProfile",
        "datazone:CreateEnvironmentProfile",
        "datazone:UpdateEnvironmentProfile",
        "datazone:DeleteEnvironmentProfile",
        "datazone:GetEnvironmentCredentials",
        "datazone:ListGroupsForUser",
        "datazone:SearchUserProfiles",
        "datazone:SearchGroupProfiles",
        "datazone:GetUserProfile",
        "datazone:GetGroupProfile"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GetResourceShareAssociations",
      "Effect": "Allow",
      "Action": "ram:GetResourceShareAssociations",
      "Resource": "*"
    },
    {
      "Sid": "InvokeBedrockModels",
      "Effect": "Allow",
      "Action": [
        "bedrock:GetFoundationModelAvailability",
        "bedrock:InvokeModel",
        "bedrock:InvokeModelWithResponseStream"
      ],
      "Resource": "*"
    },
    {
      "Sid": "UseCustomerManagedKmsKey",
      "Effect": "Allow",
      "Action": [
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/EnableBedrock": "true"
        }
      }
    }
  ]
}