기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Bedrock Studio는 Amazon Bedrock 평가판 릴리스이며 변경될 수 있습니다. |
Amazon Bedrock Studio 워크스페이스를 관리하려면 Amazon DataZone이 워크스페이스를 관리할 수 있게 하는 서비스 역할을 만들어야 합니다.
Amazon Bedrock Studio에 서비스 역할을 사용하려면 IAM 역할을 생성하고 AWS 서비스에 권한을 위임할 역할 생성의 단계에 따라 다음 권한을 연결합니다.
신뢰 관계
다음 정책은 Amazon Bedrock이 이 역할을 수임하고 Amazon DataZone을 사용하여 Amazon Bedrock Studio 워크스페이스를 관리할 수 있도록 허용합니다. 아래에서는 사용 가능한 정책 예제를 보여줍니다.
-
aws:SourceAccount값을 AWS 계정 ID로 설정합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account ID"
},
"ForAllValues:StringLike": {
"aws:TagKeys": "datazone*"
}
}
}
]
}Amazon Bedrock Studio 워크스페이스를 관리하기 위한 권한
기본 Amazon Bedrock Studio 서비스 역할에 대한 기본 정책입니다. Amazon Bedrock은 이 역할을 사용하여 Bedrock Studio에서 리소스를 빌드, 실행 및 Amazon DataZone과 공유합니다.
이 정책은 다음과 같은 권한 세트로 구성됩니다.
datazone - Amazon Bedrock Studio에서 관리하는 Amazon DataZone 리소스에 대한 액세스 권한을 부여합니다.
ram - 소유한 리소스 공유 연결을 검색할 수 있습니다.
bedrock - Amazon Bedrock 파운데이션 모델을 간접적으로 호출할 수 있는 기능을 부여합니다.
kms AWS KMS - 고객 관리형 키로 Amazon Bedrock Studio 데이터를 암호화하는 데 사용할 수 있는 액세스 권한을 부여합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GetDataZoneDomain",
"Effect": "Allow",
"Action": "datazone:GetDomain",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonBedrockManaged": "true"
}
}
},
{
"Sid": "ManageDataZoneResources",
"Effect": "Allow",
"Action": [
"datazone:ListProjects",
"datazone:GetProject",
"datazone:CreateProject",
"datazone:UpdateProject",
"datazone:DeleteProject",
"datazone:ListProjectMemberships",
"datazone:CreateProjectMembership",
"datazone:DeleteProjectMembership",
"datazone:ListEnvironments",
"datazone:GetEnvironment",
"datazone:CreateEnvironment",
"datazone:UpdateEnvironment",
"datazone:DeleteEnvironment",
"datazone:ListEnvironmentBlueprints",
"datazone:GetEnvironmentBlueprint",
"datazone:ListEnvironmentBlueprintConfigurations",
"datazone:GetEnvironmentBlueprintConfiguration",
"datazone:ListEnvironmentProfiles",
"datazone:GetEnvironmentProfile",
"datazone:CreateEnvironmentProfile",
"datazone:UpdateEnvironmentProfile",
"datazone:DeleteEnvironmentProfile",
"datazone:GetEnvironmentCredentials",
"datazone:ListGroupsForUser",
"datazone:SearchUserProfiles",
"datazone:SearchGroupProfiles",
"datazone:GetUserProfile",
"datazone:GetGroupProfile"
],
"Resource": "*"
},
{
"Sid": "GetResourceShareAssociations",
"Effect": "Allow",
"Action": "ram:GetResourceShareAssociations",
"Resource": "*"
},
{
"Sid": "InvokeBedrockModels",
"Effect": "Allow",
"Action": [
"bedrock:GetFoundationModelAvailability",
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": "*"
},
{
"Sid": "UseCustomerManagedKmsKey",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/EnableBedrock": "true"
}
}
}
]
}
