기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Bedrock 지식 베이스에 대한 서비스 역할 생성
Amazon Bedrock이 자동으로 생성하는 역할 대신 지식창고에 사용자 지정 역할을 사용하려면 권한을 위임할 IAM 역할 생성의 단계에 따라 역할을 생성하고 다음 권한을 첨부하십시오. AWS서비스. 보안을 위해 필요한 권한만 포함하세요.
-
신뢰 관계
-
Amazon Bedrock 기본 모델에 대한 액세스
-
데이터를 저장하는 데이터 원본에 대한 액세스
-
(Amazon OpenSearch Service에서 벡터 데이터베이스를 생성하는 경우) OpenSearch 서비스 컬렉션에 대한 액세스
-
(Amazon Aurora에서 벡터 데이터베이스를 생성하는 경우) Aurora 클러스터에 대한 액세스
-
(에서 벡터 데이터베이스를 생성하는 경우) Pinecone 또는 Redis Enterprise Cloud) 권한: AWS Secrets Manager 본인 인증을 위해 Pinecone 또는 Redis Enterprise Cloud account
-
(선택 사항) 키를 사용하여 다음 리소스를 암호화하는 경우 KMS 키를 해독할 수 있는 권한 (참조). 지식 기반 리소스 암호화
-
지식 기반
-
지식 기반용 데이터 소스
-
Amazon OpenSearch 서비스의 벡터 데이터베이스
-
타사 벡터 데이터베이스의 비밀은 AWS Secrets Manager
-
데이터 모으기 작업
-
주제
- 신뢰 관계
- Amazon Bedrock 모델에 액세스할 수 있는 권한
- 데이터 소스에 액세스할 수 있는 권한
- 문서와 채팅할 수 있는 권한
- (선택 사항) Amazon OpenSearch Service의 벡터 데이터베이스에 액세스할 수 있는 권한
- (선택 사항) Amazon Aurora 데이터베이스 클러스터에 액세스할 수 있는 권한
- (선택 사항) 로 구성된 벡터 데이터베이스에 액세스할 수 있는 권한 AWS Secrets Manager secret
- (선택 사항) 권한: AWS 관리하려면 AWS KMS 데이터 통합 중 임시 데이터 저장을 위한 키
- (선택 사항) 권한: AWS 다른 사용자의 데이터 소스 관리 AWS 계정.
신뢰 관계
다음 정책은 Amazon Bedrock이 이 역할을 맡아 지식 기반을 생성하고 관리할 수 있도록 허용합니다. 아래에서는 사용 가능한 정책 예제를 보여줍니다. 하나 이상의 전역 조건 컨텍스트 키를 사용하여 권한 범위를 제한할 수 있습니다. 자세한 내용은 단원을 참조하세요.AWS 글로벌 조건 컨텍스트 키. aws:SourceAccount 값을 계정 ID로 설정합니다. ArnEquals 또는 ArnLike 조건을 사용하여 범위를 특정 지식 기반으로 제한할 수 있습니다.
참고
보안을 위한 모범 사례로 다음을 교체하십시오.* 지식 베이스를 만든 IDs 후에는 특정 지식 베이스를 사용하십시오.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnLike": { "AWS:SourceArn": "arn:aws:bedrock:region:account-id:knowledge-base/*" } } }] }
Amazon Bedrock 모델에 액세스할 수 있는 권한
다음 정책을 연결하여 해당 역할에 Amazon Bedrock 모델을 사용하여 소스 데이터를 포함할 수 있는 권한을 제공합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:ListFoundationModels", "bedrock:ListCustomModels" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:region::foundation-model/amazon.titan-embed-text-v1", "arn:aws:bedrock:region::foundation-model/cohere.embed-english-v3", "arn:aws:bedrock:region::foundation-model/cohere.embed-multilingual-v3" ] } ] }
데이터 소스에 액세스할 수 있는 권한
다음 데이터 소스 중에서 선택하여 역할에 필요한 권한을 첨부합니다.
주제
Amazon S3 데이터 소스에 액세스할 수 있는 권한
다음 정책을 첨부하여 Amazon S3에 액세스할 수 있는 역할을 위한 권한을 제공하십시오.
를 사용하여 데이터 소스를 암호화한 경우 AWS KMS 키를 사용하여 의 단계에 따라 키 암호 해독 권한을 역할에 연결하십시오. Amazon S3의 데이터 소스에 대한 AWS KMS 키를 복호화할 수 있는 권한
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket/path/to/folder", "arn:aws:s3:::bucket/path/to/folder/*" ], "Condition": { "StringEquals": { "aws:PrincipalAccount": "account-id" } } }] }
Confluence 데이터 원본에 액세스할 수 있는 권한
참고
Confluence 데이터 소스 커넥터는 프리뷰 릴리스 중이며 변경될 수 있습니다.
다음 정책을 첨부하여 역할에 Confluence에 액세스할 수 있는 권한을 제공하십시오.
참고
secretsmanager:PutSecretValue새로 고침 토큰과 함께 OAuth 2.0 인증을 사용하는 경우에만 필요합니다.
Confluence OAuth2 .0 액세스 토큰의 기본 만료 시간은 60분입니다. 데이터 소스가 동기화 (동기화 작업) 되는 동안 이 토큰이 만료되면 Amazon Bedrock은 제공된 새로 고침 토큰을 사용하여 이 토큰을 다시 생성합니다. 이렇게 재생성하면 액세스 토큰과 새로 고침 토큰이 모두 새로 고쳐집니다. 현재 동기화 작업에서 다음 동기화 작업까지 토큰을 계속 업데이트하려면 Amazon Bedrock에 보안 자격 증명에 대한 쓰기/넣기 권한이 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, }
Microsoft SharePoint 데이터 원본에 액세스할 수 있는 권한
참고
SharePoint 데이터 소스 커넥터는 프리뷰 릴리즈 중이며 변경될 수 있습니다.
다음 정책을 첨부하여 역할에 액세스 권한을 제공하십시오 SharePoint.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, }
Salesforce 데이터 소스에 액세스할 수 있는 권한
참고
Salesforce 데이터 소스 커넥터는 프리뷰 릴리스 중이며 변경될 수 있습니다.
다음 정책을 첨부하여 역할에 Salesforce에 액세스할 수 있는 권한을 제공하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:your-region:your-account-id:secret:secret-id" ] }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:your-region:your-account-id:key/key-id" ], "Condition": { "StringLike": { "kms:ViaService": [ "secretsmanager.your-region.amazonaws.com" ] } } }, }
문서와 채팅할 수 있는 권한
Amazon Bedrock 모델을 사용하여 문서와 채팅할 수 있는 권한을 역할에 제공하려면 다음 정책을 첨부하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:RetrieveAndGenerate" ], "Resource": "*" } ] }
모든 지식 기반이 아닌 사용자에게 문서와 채팅할 수 있는 액세스 권한만 부여하려면 RetrieveAndGenerate 다음 정책을 사용하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:RetrieveAndGenerate" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "bedrock:Retrieve" ], "Resource": "*" } ] }
문서와 채팅하고 특정 지식 RetrieveAndGenerate 베이스에서 사용하려면 다음을 제공하십시오.insert KB ARN, 그리고 다음 정책을 사용하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:RetrieveAndGenerate" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "bedrock:Retrieve" ], "Resource":insert KB ARN} ] }
(선택 사항) Amazon OpenSearch Service의 벡터 데이터베이스에 액세스할 수 있는 권한
Amazon OpenSearch Service에서 지식창고용 벡터 데이터베이스를 생성한 경우, Amazon Bedrock 지식 기반 서비스 역할에 다음 정책을 추가하여 컬렉션에 대한 액세스를 허용하십시오. Replace region 그리고 account-id 데이터베이스가 속한 지역 및 계정 ID를 포함합니다. Amazon OpenSearch 서비스 컬렉션의 ID를 입력하세요.collection-id. Resource목록에 컬렉션을 추가하여 여러 컬렉션에 대한 액세스를 허용할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "aoss:APIAccessAll" ], "Resource": [ "arn:aws:aoss:region:account-id:collection/collection-id" ] }] }
(선택 사항) Amazon Aurora 데이터베이스 클러스터에 액세스할 수 있는 권한
Amazon Aurora에서 지식창고용으로 데이터베이스 (DB) 클러스터를 만든 경우 Amazon Bedrock 지식 기반 서비스 역할에 다음 정책을 추가하여 DB 클러스터에 대한 액세스를 허용하고 해당 클러스터에 대한 읽기 및 쓰기 권한을 제공하십시오. Replace region 그리고 account-id DB 클러스터가 속한 지역 및 계정 ID 포함 Amazon Aurora 데이터베이스 클러스터의 ID를 입력하십시오.db-cluster-id. Resource목록에 DB 클러스터를 추가하여 여러 DB 클러스터에 대한 액세스를 허용할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RdsDescribeStatementID", "Effect": "Allow", "Action": [ "rds:DescribeDBClusters" ], "Resource": [ "arn:aws:rds:region:account-id:cluster:db-cluster-id" ] }, { "Sid": "DataAPIStatementID", "Effect": "Allow", "Action": [ "rds-data:BatchExecuteStatement", "rds-data:ExecuteStatement" ], "Resource": [ "arn:aws:rds:region:account-id:cluster:db-cluster-id" ] }] }
(선택 사항) 로 구성된 벡터 데이터베이스에 액세스할 수 있는 권한 AWS Secrets Manager secret
벡터 데이터베이스가 다음으로 구성된 경우 AWS Secrets Manager 비밀, Amazon Bedrock 지식 기반 서비스 역할에 다음 정책을 첨부하여 다음을 허용하십시오. AWS Secrets Manager 데이터베이스에 액세스할 수 있도록 계정을 인증하기 위해서입니다. Replace region 그리고 account-id 데이터베이스가 속한 지역 및 계정 ID 포함. Replace secret-id 비밀번호의 ID로.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:account-id:secret:secret-id" ] }] }
비밀번호를 암호화한 경우 AWS KMS 의 단계에 따라 키를 해독할 수 있는 권한을 역할에 연결하십시오. 지식 베이스가 들어 있는 벡터 스토어의 AWS Secrets Manager 비밀을 해독할 수 있는 권한
(선택 사항) 권한: AWS 관리하려면 AWS KMS 데이터 통합 중 임시 데이터 저장을 위한 키
생성을 허용하려면 AWS KMS 데이터 소스를 수집하는 과정에서 임시 데이터를 저장하는 데 사용하는 키로서 Amazon Bedrock Knowledge Base 서비스 역할에 다음 정책을 첨부하십시오. 교체하십시오.region, account-id, 및 key-id 적절한 값으로 입력하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }
(선택 사항) 권한: AWS 다른 사용자의 데이터 소스 관리 AWS 계정.
다른 사용자의 액세스를 허용하려면 AWS 계정의 경우 다른 사용자 계정의 Amazon S3 버킷에 대한 교차 계정 액세스를 허용하는 역할을 생성해야 합니다. 교체하십시오.bucketName, bucketOwnerAccountId, 및 bucketNameAndPrefix 적절한 값으로 입력하세요.
지식 기반 역할에 필요한 권한
지식창고 생성 시 제공되는 지식창고 역할에는 다음과 같은 Amazon S3 권한이 createKnowledgeBase 필요합니다.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "S3ListBucketStatement", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucketName" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "bucketOwnerAccountId" } } },{ "Sid": "S3GetObjectStatement", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketNameAndPrefix/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "bucketOwnerAccountId" } }] }
Amazon S3 버킷이 다음을 사용하여 암호화된 경우 AWS KMS 키, 지식창고 역할에 다음 사항도 추가해야 합니다. 교체하십시오.bucketOwnerAccountId 그리고 region 적절한 값으로 입력하세요.
{ "Sid": "KmsDecryptStatement", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:bucketOwnerAccountId:key/keyId" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.region.amazonaws.com" ] } } }
계정 간 Amazon S3 버킷 정책에 필요한 권한
다른 계정의 버킷에는 다음과 같은 Amazon S3 버킷 정책이 필요합니다. 교체하십시오.kbRoleArn,
bucketName, 및 bucketNameAndPrefix 적절한 값으로 입력하세요.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Example ListBucket permissions", "Effect": "Allow", "Principal": { "AWS": "kbRoleArn" }, "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucketName" ] }, { "Sid": "Example GetObject permissions", "Effect": "Allow", "Principal": { "AWS": "kbRoleArn" }, "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketNameAndPrefix/*" ] } ] }
교차 계정에 필요한 권한 AWS KMS 주요 정책
계정 간 Amazon S3 버킷이 다음을 사용하여 암호화된 경우 AWS KMS 해당 계정의 키, 정책 AWS KMS 키에는 다음 정책이 필요합니다. 교체하십시오.kbRoleArn 그리고 kmsKeyArn 적절한 값으로 입력하세요.
{ "Sid": "Example policy", "Effect": "Allow", "Principal": { "AWS": [ "kbRoleArn" ] }, "Action": [ "kms:Decrypt" ], "Resource": "kmsKeyArn" }
