Amazon Bedrock Studio에 대한 서비스 역할 생성 - Amazon Bedrock
신뢰 관계Amazon Bedrock Studio 워크스페이스를 관리하기 위한 권한

Amazon Bedrock Studio에 대한 서비스 역할 생성

Amazon Bedrock Studio는 Amazon Bedrock 평가판 릴리스이며 변경될 수 있습니다.

Amazon Bedrock Studio 워크스페이스를 관리하려면 Amazon DataZone이 워크스페이스를 관리할 수 있게 하는 서비스 역할을 만들어야 합니다.

Amazon Bedrock Studio에서 서비스 역할을 사용하려면 AWS 서비스에 대한 권한을 위임할 역할 생성의 단계에 따라 IAM 역할을 만들고 다음 권한을 연결합니다.

신뢰 관계

다음 정책은 Amazon Bedrock이 이 역할을 수임하고 Amazon DataZone을 사용하여 Amazon Bedrock Studio 워크스페이스를 관리할 수 있도록 허용합니다. 아래에서는 사용 가능한 정책 예제를 보여줍니다.

  • aws:SourceAccount 값을 AWS 계정 ID로 설정합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "datazone.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account ID"
        },
        "ForAllValues:StringLike": {
          "aws:TagKeys": "datazone*"
        }
      }
    }
  ]
}

Amazon Bedrock Studio 워크스페이스를 관리하기 위한 권한

기본 Amazon Bedrock Studio 서비스 역할에 대한 기본 정책입니다. Amazon Bedrock은 이 역할을 사용하여 Bedrock Studio에서 리소스를 빌드, 실행 및 Amazon DataZone과 공유합니다.

이 정책은 다음과 같은 권한 세트로 구성됩니다.

  • datazone - Amazon Bedrock Studio에서 관리하는 Amazon DataZone 리소스에 대한 액세스 권한을 부여합니다.

  • ram - 소유한 리소스 공유 연결을 검색할 수 있습니다.

  • bedrock - Amazon Bedrock 파운데이션 모델을 간접적으로 호출할 수 있는 기능을 부여합니다.

  • kms - 고객 관리형 키로 Amazon Bedrock Studio 데이터를 암호화하는 데 AWS KMS를 사용할 수 있는 액세스 권한을 부여합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "GetDataZoneDomain",
      "Effect": "Allow",
      "Action": "datazone:GetDomain",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/AmazonBedrockManaged": "true"
        }
      }
    },
    {
      "Sid": "ManageDataZoneResources",
      "Effect": "Allow",
      "Action": [
        "datazone:ListProjects",
        "datazone:GetProject",
        "datazone:CreateProject",
        "datazone:UpdateProject",
        "datazone:DeleteProject",
        "datazone:ListProjectMemberships",
        "datazone:CreateProjectMembership",
        "datazone:DeleteProjectMembership",
        "datazone:ListEnvironments",
        "datazone:GetEnvironment",
        "datazone:CreateEnvironment",
        "datazone:UpdateEnvironment",
        "datazone:DeleteEnvironment",
        "datazone:ListEnvironmentBlueprints",
        "datazone:GetEnvironmentBlueprint",
        "datazone:ListEnvironmentBlueprintConfigurations",
        "datazone:GetEnvironmentBlueprintConfiguration",
        "datazone:ListEnvironmentProfiles",
        "datazone:GetEnvironmentProfile",
        "datazone:CreateEnvironmentProfile",
        "datazone:UpdateEnvironmentProfile",
        "datazone:DeleteEnvironmentProfile",
        "datazone:GetEnvironmentCredentials",
        "datazone:ListGroupsForUser",
        "datazone:SearchUserProfiles",
        "datazone:SearchGroupProfiles",
        "datazone:GetUserProfile",
        "datazone:GetGroupProfile"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GetResourceShareAssociations",
      "Effect": "Allow",
      "Action": "ram:GetResourceShareAssociations",
      "Resource": "*"
    },
    {
      "Sid": "InvokeBedrockModels",
      "Effect": "Allow",
      "Action": [
        "bedrock:GetFoundationModelAvailability",
        "bedrock:InvokeModel",
        "bedrock:InvokeModelWithResponseStream"
      ],
      "Resource": "*"
    },
    {
      "Sid": "UseCustomerManagedKmsKey",
      "Effect": "Allow",
      "Action": [
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/EnableBedrock": "true"
        }
      }
    }
  ]
}