Amazon Bedrock Agents에 대한 서비스 역할 생성 - Amazon Bedrock

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Bedrock Agents에 대한 서비스 역할 생성

Amazon Bedrock에서 자동으로 생성하는 대신 에이전트에 대한 사용자 지정 서비스 역할을 사용하려면 IAM 역할을 생성하고 AWS 서비스 에 권한을 위임하는 역할 생성의 단계에 따라 다음 권한을 연결합니다.

  • 신뢰 정책

  • 다음 자격 증명 기반 권한이 포함된 정책입니다.

    • Amazon Bedrock 기본 모델에 대한 액세스.

    • 가 포함된 Amazon S3 객체에 대한 액세스 OpenAPI 에이전트의 작업 그룹에 대한 스키마입니다.

    • Amazon Bedrock이 에이전트에 연결하려는 지식 기반을 쿼리할 수 있는 권한입니다.

    • 다음 상황 중 사용 사례와 관련된 경우 정책에 문을 추가하거나 서비스 역할에 문이 포함된 정책을 추가합니다.

      • (선택 사항) 프로비저닝된 처리량을 에이전트 별칭과 연결하는 경우 해당 프로비저닝된 처리량을 사용하여 모델 호출을 수행할 수 있는 권한입니다.

      • (선택 사항) 에이전트와 가드레일을 연결하는 경우 해당 가드레일을 적용할 수 있는 권한을 부여합니다. 가드레일이 KMS 키로 암호화된 경우 서비스 역할에도 키를 복호화할 수 있는 권한이 필요합니다.

      • (선택 사항) KMS 키로 에이전트를 암호화하는 경우 키 를 복호화할 수 있는 권한.

사용자 지정 역할을 사용하는지 여부에 관계없이 서비스 역할이 함수에 액세스할 수 있는 권한을 제공하려면 에이전트의 작업 그룹에 대한 Lambda 함수에 리소스 기반 정책도 연결해야 합니다. 자세한 내용은 Amazon Bedrock이 작업 그룹 Lambda 함수를 호출하도록 허용하는 리소스 기반 정책 단원을 참조하십시오.

신뢰 관계

다음 신뢰 정책은 Amazon Bedrock이 이 역할을 수임하고 에이전트를 생성하고 관리할 수 있도록 허용합니다. 교체 ${values} 필요에 따라. 정책에는 필드에 보안 모범 사례로 사용하는 선택적 조건 키(Amazon Bedrock의 조건 키 및 AWS 전역 조건 컨텍스트 키 참조)Condition가 포함되어 있습니다.

참고

보안을 위한 모범 사례로 * 특정 에이전트를 생성한 IDs 후 해당 에이전트를 사용합니다.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "${account-id}" }, "ArnLike": { "AWS:SourceArn": "arn:aws:bedrock:${region}:${account-id}:agent/*" } } }] }

에이전트 서비스 역할에 대한 자격 증명 기반 권한

다음 정책을 연결하여 서비스 역할에 대한 권한을 제공하고 ${values} 필요에 따라. 정책에는 다음 문이 포함되어 있습니다. 사용 사례에 적용되지 않는 문은 생략합니다. 정책에는 필드에 보안 모범 사례로 사용하는 선택적 조건 키(Amazon Bedrock의 조건 키 및 AWS 전역 조건 컨텍스트 키 참조)Condition가 포함되어 있습니다.

참고

고객 관리형 KMS 키로 에이전트를 암호화하는 경우 추가해야 하는 추가 권한에이전트 리소스 암호화은 섹션을 참조하세요.

  • Amazon Bedrock 파운데이션 모델을 사용하여 에이전트의 오케스트레이션에 사용되는 프롬프트에서 모델 추론을 실행할 수 있는 권한.

  • Amazon S3에서 에이전트의 작업 그룹 API 스키마에 액세스할 수 있는 권한. 에이전트에 작업 그룹이 없는 경우 이 문을 생략합니다.

  • 에이전트와 연결된 지식 기반에 액세스할 수 있는 권한입니다. 에이전트에 연결된 지식 기반이 없는 경우 이 문을 생략합니다.

  • 타사에 액세스할 수 있는 권한(Pinecone 또는 Redis Enterprise Cloud) 에이전트와 연결된 지식 기반입니다. 지식 기반이 당사자(Amazon OpenSearch Serverless 또는 Amazon Aurora)이거나 에이전트에 연결된 지식 기반이 없는 경우 이 문을 생략합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow model invocation for orchestration", "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-v2", "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-v2:1", "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-instant-v1" ] }, { "Sid": "Allow access to action group API schemas in S3", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket/path/to/schema" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${account-id}" } } }, { "Sid": "Query associated knowledge bases", "Effect": "Allow", "Action": [ "bedrock:Retrieve", "bedrock:RetrieveAndGenerate" ], "Resource": [ "arn:aws:bedrock:${region}:${account-id}:knowledge-base/knowledge-base-id" ] }, { "Sid": "Associate a third-party knowledge base with your agent", "Effect": "Allow", "Action": [ "bedrock:AssociateThirdPartyKnowledgeBase", ], "Resource": "arn:aws:bedrock:${region}:${account-id}:knowledge-base/knowledge-base-id", "Condition": { "StringEquals" : { "bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:kms:${region}:${account-id}:key/${key-id}" } } } ] }

(선택 사항) Amazon Bedrock이 에이전트 별칭과 함께 프로비저닝된 처리량을 사용하도록 허용하는 자격 증명 기반 정책

프로비저닝된 처리량을 에이전트의 별칭과 연결하는 경우 서비스 역할에 다음 자격 증명 기반 정책을 연결하거나 의 정책에 문을 추가합니다에이전트 서비스 역할에 대한 자격 증명 기반 권한.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Use a Provisioned Throughput in model invocation", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:GetProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:{${region}}:{${account-id}}:${provisioned-model-id}" ] } ] }

(선택 사항) Amazon Bedrock이 Agent에서 가드레일을 사용하도록 허용하는 자격 증명 기반 정책

에이전트와 가드레일을 연결하는 경우 서비스 역할에 다음 자격 증명 기반 정책을 연결하거나 의 정책에 문을 추가합니다에이전트 서비스 역할에 대한 자격 증명 기반 권한.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Apply a guardrail to your agent", "Effect": "Allow", "Action": "bedrock:ApplyGuardrail", "Resource": [ "arn:aws:bedrock:{${region}}:{${account-id}}:guardrail/${guardrail-id}" ] } ] }

(선택 사항) Amazon Bedrock이 코드 해석에 사용할 S3의 파일에 액세스할 수 있도록 허용하는 자격 증명 기반 정책

를 활성화한 경우 다음 자격 증명 기반 정책을 서비스 역할에 Amazon Bedrock에서 코드 해석 활성화연결하거나 에이전트 서비스 역할에 대한 자격 증명 기반 권한의 정책에 문을 추가합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonBedrockAgentFileAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:GetObjectVersionAttributes", "s3:GetObjectAttributes" ], "Resource": [ "arn:aws:s3:::[[customerProvidedS3BucketWithKey]]" ] } ] }

Amazon Bedrock이 작업 그룹 Lambda 함수를 호출하도록 허용하는 리소스 기반 정책

Lambda에 대한 리소스 기반 정책 사용의 단계에 따라 다음 리소스 기반 정책을 Lambda 함수에 연결하여 Amazon Bedrock이 에이전트의 작업 그룹에 대한 Lambda 함수에 액세스하도록 허용하고 ${values} 필요에 따라. 이 정책에는 보안 모범 사례로 사용할 것을 권장하는 선택적 조건 키(Amazon Bedrock의 조건 키 및 AWS 전역 조건 컨텍스트 키 참조)가 Condition 필드에 포함되어 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Amazon Bedrock to access action group Lambda function", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:${region}:${account-id}:function:function-name", "Condition": { "StringEquals": { "AWS:SourceAccount": "${account-id}" }, "ArnLike": { "AWS:SourceArn": "arn:aws:bedrock:${region}:${account-id}:agent/${agent-id}" } } } ] }