기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
지식 기반 평가 작업에 대한 서비스 역할 요구 사항
지식 기반 평가 작업을 생성하려면 서비스 역할을 지정해야 합니다. 역할에 연결하는 정책은 Amazon Bedrock에 계정의 리소스에 대한 액세스 권한을 부여하고 Amazon Bedrock이 다음을 수행하도록 허용합니다.
-
RetrieveAndGenerateAPI 작업을 사용하여 출력 생성을 위해 선택한 모델을 호출하고 지식 기반 출력을 평가합니다. -
지식 기반 인스턴스에서 Amazon Bedrock 지식 기반
Retrieve및RetrieveAndGenerateAPI 작업을 호출합니다.
사용자 지정 서비스 역할을 생성하려면 IAM 사용 설명서의 사용자 지정 신뢰 정책을 사용하는 역할 생성을 참조하세요.
Amazon S3 액세스에 필요한 IAM 작업
다음 예제 정책은 다음 두 가지가 모두 발생하는 S3 버킷에 대한 액세스 권한을 부여합니다.
-
지식 기반 평가 결과를 저장합니다.
-
Amazon Bedrock은 입력 데이터 세트를 읽습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToCustomDatasets", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::my_customdataset1_bucket", "arn:aws:s3:::my_customdataset1_bucket/myfolder", "arn:aws:s3:::my_customdataset2_bucket", "arn:aws:s3:::my_customdataset2_bucket/myfolder" ] }, { "Sid": "AllowAccessToOutputBucket", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket", "s3:PutObject", "s3:GetBucketLocation", "s3:AbortMultipartUpload", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::my_output_bucket", "arn:aws:s3:::my_output_bucket/myfolder" ] } ] }
필수 Amazon Bedrock IAM 작업
또한 Amazon Bedrock이 다음을 수행하도록 허용하는 정책을 생성해야 합니다.
-
다음에 대해 지정하려는 모델을 호출합니다.
-
RetrieveAndGenerateAPI 작업을 사용한 결과 생성. -
결과 평가.
정책의
Resource키에 대해 액세스할 수 있는 모델의 ARN을 하나 이상 지정해야 합니다. 고객 관리형 KMS 키로 암호화된 모델을 사용하려면 IAM 서비스 역할 정책에 필요한 IAM 작업 및 리소스를 추가해야 합니다. 또한 AWS KMS 키 정책에 서비스 역할을 추가해야 합니다. -
-
Retrieve및RetrieveAndGenerateAPI 작업을 호출합니다. 콘솔의 자동 역할 생성에서는 해당 작업에 대해 평가하도록 선택한 작업에 관계없이Retrieve및RetrieveAndGenerateAPI 작업 모두에 대한 권한을 부여합니다. 이렇게 하면 해당 역할에 대한 유연성과 재사용 가능성을 높일 수 있습니다. 그러나 보안을 강화하기 위해 자동으로 생성된 역할은 단일 지식 기반 인스턴스에 연결됩니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSpecificModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream", "bedrock:CreateModelInvocationJob", "bedrock:StopModelInvocationJob", "bedrock:GetProvisionedModelThroughput", "bedrock:GetInferenceProfile", "bedrock:GetImportedModel" ], "Resource": [ "arn:aws:bedrock:region::foundation-model/*", "arn:aws:bedrock:region:account-id:inference-profile/*", "arn:aws:bedrock:region:account-id:provisioned-model/*", "arn:aws:bedrock:region:account-id:imported-model/*", "arn:aws:bedrock:region:account-id:application-inference-profile/*" ] }, { "Sid": "AllowKnowledgeBaseAPis", "Effect": "Allow", "Action": [ "bedrock:Retrieve", "bedrock:RetrieveAndGenerate" ], "Resource": [ "arn:aws:bedrock:region:account-id:knowledge-base/knowledge-base-id" ] } ] }
서비스 보안 주체 요구 사항
Amazon Bedrock을 서비스 보안 주체로 정의하는 신뢰 정책도 지정해야 합니다. 이 정책은 Amazon Bedrock이 역할을 수임하도록 허용합니다. Amazon Bedrock이 AWS 계정에서 모델 평가 작업을 생성할 수 있으려면 와일드카드(*) 모델 평가 작업 ARN이 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowBedrockToAssumeRole", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:region:account-id:evaluation-job/*" } } } ] }
