Amazon Bedrock 에이전트에 대한 서비스 역할 생성 - Amazon Bedrock
신뢰 관계에이전트 서비스 역할에 대한 자격 증명 기반 권한(선택 사항) Amazon Bedrock이 에이전트 별칭과 함께 프로비저닝된 처리량을 사용하도록 허용하는 ID 기반 정책(선택 사항) Amazon Bedrock이 에이전트에서 가드레일을 사용하도록 허용하는 ID 기반 정책(선택 사항) Amazon Bedrock이 코드 해석에 사용할 S3의 파일에 액세스할 수 있도록 허용하는 ID 기반 정책Amazon Bedrock이 작업 그룹 Lambda 함수를 간접적으로 호출하도록 허용하는 리소스 기반 정책

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Bedrock 에이전트에 대한 서비스 역할 생성

Amazon Bedrock이 자동으로 생성하는 대신 에이전트에 대한 사용자 지정 서비스 역할을 사용하려면 IAM 역할을 생성하고 AWS 서비스에 권한을 위임하는 역할 생성의 단계에 따라 다음 권한을 연결합니다.

  • 신뢰 정책

  • 다음 자격 증명 기반 권한이 포함된 정책입니다.

    • Amazon Bedrock 기본 모델에 대한 액세스 권한

    • 가 포함된 Amazon S3 객체에 대한 액세스 OpenAPI 에이전트의 작업 그룹에 대한 스키마입니다.

    • Amazon Bedrock에서 에이전트에 연결하려는 지식 기반을 쿼리할 수 있는 권한

    • 사용 사례가 다음 상황에 관련된 경우, 정책에 설명을 추가하거나 서비스 역할에 대한 설명이 포함된 정책을 추가합니다.

      • (선택 사항) 프로비저닝된 처리량을 에이전트 별칭과 연결하는 경우, 해당 프로비저닝된 처리량을 사용하여 모델 간접 호출을 수행할 수 있는 권한을 부여합니다.

      • (선택 사항) 에이전트에 가드레일을 연결하는 경우, 해당 가드레일을 적용할 수 있는 권한을 부여합니다. 가드레일이 KMS 키로 암호화된 경우 서비스 역할에도 키를 해독할 수 있는 권한이 필요합니다.

      • (선택 사항) KMS 키로 에이전트를 암호화하는 경우 키를 복호화할 수 있는 권한입니다.

사용자 지정 역할 사용 여부와 관계없이, 에이전트의 작업 그룹에 대한 Lambda 함수에 리소스 기반 정책을 연결하여 서비스 역할이 함수에 액세스할 수 있는 권한을 제공해야 합니다. 자세한 내용은 Amazon Bedrock이 작업 그룹 Lambda 함수를 간접적으로 호출하도록 허용하는 리소스 기반 정책 단원을 참조하십시오.

신뢰 관계

다음 신뢰 정책은 Amazon Bedrock이 이 역할을 맡아 에이전트를 만들고 관리할 수 있도록 허용합니다. 필요에 ${values} 따라를 교체합니다. 이 정책에는 보안 모범 사례로 사용할 것을 권장하는 선택적 조건 키(Amazon Bedrock의 조건 키AWS 전역 조건 컨텍스트 키 참조)가 Condition 필드에 포함되어 있습니다.

참고

보안을 위해를 생성한 IDs 후를 특정 에이전트*로 대체하는 것이 가장 좋습니다.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "bedrock.amazonaws.com"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "${account-id}"
            },
            "ArnLike": {
                "AWS:SourceArn": "arn:aws:bedrock:${region}:${account-id}:agent/*"
            }
        }
    }]
}

에이전트 서비스 역할에 대한 자격 증명 기반 권한

다음 정책을 연결하여 필요에 ${values} 따라를 교체하여 서비스 역할에 대한 권한을 제공합니다. 정책에는 다음과 같은 설명이 포함되어 있습니다. 사용 사례에 해당되지 않는 설명은 생략합니다. 이 정책에는 보안 모범 사례로 사용할 것을 권장하는 선택적 조건 키(Amazon Bedrock의 조건 키AWS 전역 조건 컨텍스트 키 참조)가 Condition 필드에 포함되어 있습니다.

참고

고객 관리형 KMS 키로 에이전트를 암호화하는 경우 추가해야 하는 추가 권한에이전트 리소스 암호화은 섹션을 참조하세요.

  • Amazon Bedrock 파운데이션 모델을 사용하여 에이전트의 오케스트레이션에 사용되는 프롬프트에서 모델 추론을 실행할 수 있는 권한.

  • Amazon S3에서 에이전트의 작업 그룹 API 스키마에 액세스할 수 있는 권한입니다. 에이전트에 작업 그룹이 없는 경우 이 설명을 생략합니다.

  • 에이전트와 관련된 지식 기반에 액세스할 수 있는 권한. 에이전트에 연결된 지식 기반이 없는 경우 이 설명을 생략합니다.

  • 타사에 액세스할 수 있는 권한(Pinecone or Redis Enterprise Cloud) 에이전트와 연결된 지식 기반입니다. 지식 기반이 당사자(Amazon OpenSearch Serverless 또는 Amazon Aurora)이거나 에이전트에 연결된 지식 기반이 없는 경우이 문을 생략합니다.

  • 프롬프트 관리에서 프롬프트에 액세스할 수 있는 권한입니다. Amazon Bedrock 콘솔에서 에이전트와 함께 프롬프트 관리의 프롬프트를 테스트할 계획이 없는 경우이 문을 생략합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AgentModelInvocationPermissions",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-v2",
                "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-v2:1",
                "arn:aws:bedrock:${region}::foundation-model/anthropic.claude-instant-v1"
            ]
        },
        {
            "Sid": "AgentActionGroupS3",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket/path/to/schema"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${account-id}"
                }
            }
        },
        {
            "Sid": "AgentKnowledgeBaseQuery",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve",
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:knowledge-base/knowledge-base-id"
            ]
        },
        {
            "Sid": "Agent3PKnowledgeBase",
            "Effect": "Allow",
            "Action": [
                "bedrock:AssociateThirdPartyKnowledgeBase",
            ],
            "Resource": "arn:aws:bedrock:${region}:${account-id}:knowledge-base/knowledge-base-id",
            "Condition": { 
                "StringEquals" : { 
                    "bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:kms:${region}:${account-id}:key/${key-id}"
                }
            }
        },
        {
            "Sid": "AgentPromptManagementConsole",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetPrompt",
            ],
            "Resource": [
                "arn:aws:bedrock:${region}:${account-id}:prompt/prompt-id"
            ]
        },
    ]
}

(선택 사항) Amazon Bedrock이 에이전트 별칭과 함께 프로비저닝된 처리량을 사용하도록 허용하는 ID 기반 정책

프로비저닝된 처리량을 에이전트의 별칭과 연결하는 경우 서비스 역할에 다음 ID 기반 정책을 연결하거나 에이전트 서비스 역할에 대한 자격 증명 기반 권한의 정책에 설명을 추가합니다.

{
    "Version": "2012-10-17",
    "Statement": [
      {        
        "Sid": "Use a Provisioned Throughput in model invocation",
        "Effect": "Allow",
        "Action": [
            "bedrock:InvokeModel", 
            "bedrock:GetProvisionedModelThroughput"
        ],
        "Resource": [
            "arn:aws:bedrock:{${region}}:{${account-id}}:${provisioned-model-id}"
        ]
      }
    ]
}

(선택 사항) Amazon Bedrock이 에이전트에서 가드레일을 사용하도록 허용하는 ID 기반 정책

가드레일을 에이전트에 연결하는 경우 다음 ID 기반 정책을 서비스 역할에 연결하거나 에이전트 서비스 역할에 대한 자격 증명 기반 권한의 정책에 설명을 추가합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {  
            "Sid": "Apply a guardrail to your agent",
            "Effect": "Allow",
            "Action": "bedrock:ApplyGuardrail",
            "Resource": [
                "arn:aws:bedrock:{${region}}:{${account-id}}:guardrail/${guardrail-id}"
            ]
        }
    ]
}

(선택 사항) Amazon Bedrock이 코드 해석에 사용할 S3의 파일에 액세스할 수 있도록 허용하는 ID 기반 정책

Amazon Bedrock에서 코드 해석 활성화하는 경우 다음 ID 기반 정책을 서비스 역할에 연결하거나 에이전트 서비스 역할에 대한 ID 기반 권한의 정책에 설명을 추가합니다.

{
  "Version": "2012-10-17",
  "Statement": [
      {       
        "Sid": "AmazonBedrockAgentFileAccess", 
        "Effect": "Allow",
        "Action": [
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:GetObjectVersionAttributes",
            "s3:GetObjectAttributes"
        ],
        "Resource": [
            "arn:aws:s3:::[[customerProvidedS3BucketWithKey]]"
        ]
      }
    ]
}

Amazon Bedrock이 작업 그룹 Lambda 함수를 간접적으로 호출하도록 허용하는 리소스 기반 정책

Lambda에 대한 리소스 기반 정책 사용의 단계에 따라 다음 리소스 기반 정책을 Lambda 함수에 연결하여 Amazon Bedrock이 에이전트의 작업 그룹에 대한 Lambda 함수에 액세스하도록 허용하고 필요에 ${values} 따라를 대체합니다. 이 정책에는 보안 모범 사례로 사용할 것을 권장하는 선택적 조건 키(Amazon Bedrock의 조건 키AWS 전역 조건 컨텍스트 키 참조)가 Condition 필드에 포함되어 있습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow Amazon Bedrock to access action group Lambda function",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "lambda:InvokeFunction",
            "Resource":  "arn:aws:lambda:${region}:${account-id}:function:function-name",
            "Condition": {
                "StringEquals": {
                    "AWS:SourceAccount": "${account-id}"
                },
                "ArnLike": {
                    "AWS:SourceArn": "arn:aws:bedrock:${region}:${account-id}:agent/${agent-id}"
                }
            }
        }
    ]
}