모델 가져오기를 위한 서비스 역할 생성 - Amazon Bedrock
신뢰 관계Amazon S3에서 사용자 지정 모델 파일에 액세스할 수 있는 권한

모델 가져오기를 위한 서비스 역할 생성

Amazon Bedrock에서 자동으로 생성하는 역할 대신 사용자 지정 역할을 모델 가져오기에 사용하려면 AWS 서비스에 대한 권한을 위임할 역할 생성의 단계에 따라 IAM 역할을 생성하고 다음 권한을 연결합니다.

신뢰 관계

다음 정책은 Amazon Bedrock이 이 역할을 맡아 모델 가져오기 작업을 수행하도록 허용합니다. 아래에서는 사용 가능한 정책 예제를 보여줍니다.

Condition 필드와 함께 하나 이상의 글로벌 조건 컨텍스트 키를 사용하여 서비스 간 대리자 혼동 방지를 위해 권한 범위를 선택적으로 제한할 수 있습니다. 자세한 정보는 AWS 전역 조건 컨텍스트 키를 참조하세요.

  • aws:SourceAccount 값을 계정 ID로 설정합니다.

  • (선택 사항) ArnEquals 또는 ArnLike 조건을 사용하여 범위를 계정 ID의 특정 모델 가져오기 작업으로 제한합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:account-id:model-import-job/*"
                }
            }
        }
    ]
}

Amazon S3에서 사용자 지정 모델 파일에 액세스할 수 있는 권한

다음 정책을 연결하여 역할이 Amazon S3 버킷의 사용자 지정 모델 파일에 액세스할 수 있도록 허용합니다. Resource 목록의 값을 실제 버킷 이름으로 바꿉니다.

버킷의 특정 폴더에 대한 액세스를 제한하려면 폴더 경로와 함께 s3:prefix 조건 키를 추가합니다. 예제 2: 특정 접두사가 있는 버킷의 객체 목록 가져오기사용자 정책 예제를 따르면 됩니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "account-id"
                }
            }
        }
    ]
}