모델 가져오기를 위한 서비스 역할 생성 - Amazon Bedrock
신뢰 관계Amazon S3의 사용자 지정 모델 파일에 액세스할 수 있는 권한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

모델 가져오기를 위한 서비스 역할 생성

Amazon Bedrock이 자동으로 생성하는 역할 대신 모델 가져오기에 사용자 지정 역할을 사용하려면 서비스에 권한을 위임하기 위한 역할 생성의 단계에 따라 IAM 역할을 생성하고 다음 권한을 연결하십시오. AWS

신뢰 관계

다음 정책은 Amazon Bedrock이 이 역할을 맡아 모델 가져오기 작업을 수행하도록 허용합니다. 아래에서는 사용 가능한 정책 예제를 보여줍니다.

선택적으로 필드와 함께 하나 이상의 글로벌 조건 컨텍스트 키를 사용하여 서비스 간 혼동 방지 권한 범위를 제한할 수 있습니다. Condition 자세한 정보는 AWS 전역 조건 컨텍스트 키를 참조하세요.

  • aws:SourceAccount 값을 계정 ID로 설정합니다.

  • (선택 사항) ArnEquals or ArnLike 조건을 사용하여 계정 ID의 특정 모델 가져오기 작업으로 범위를 제한할 수 있습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-import-job/*"
                }
            }
        }
    ]
}

Amazon S3의 사용자 지정 모델 파일에 액세스할 수 있는 권한

다음 정책을 추가하여 역할이 Amazon S3 버킷의 사용자 지정 모델 파일에 액세스할 수 있도록 허용하십시오. Resource목록의 값을 실제 버킷 이름으로 바꾸십시오.

버킷의 특정 폴더에 대한 액세스를 제한하려면 폴더 경로와 함께 s3:prefix 조건 키를 추가하십시오. 예제 2: 특정 접두사를 가진 버킷의 객체 목록 가져오기의 사용자 정책 예제를 따를 수 있습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "account-id"
                }
            }
        }
    ]
}