기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
여러 Amazon Bedrock 기능을 사용하려면 Amazon S3 버킷에 저장된 데이터에 액세스해야 합니다. 이 데이터에 액세스하려면 다음 권한을 구성해야 합니다.
| 사용 사례 | 권한 |
|---|---|
| S3 버킷에서 데이터를 검색할 수 있는 권한 | s3:GetObject s3:ListBucket |
| S3 버킷에 데이터를 쓸 수 있는 권한 | s3:PutObject |
| S3 버킷을 암호화한 KMS 키를 복호화할 수 있는 권한 | kms:Decrypt kms:DescribeKey |
위 권한을 연결해야 하는 자격 증명 또는 리소스는 다음 요인에 따라 달라집니다.
-
Amazon Bedrock의 여러 기능은 서비스 역할을 사용합니다. 기능이 서비스 역할을 사용하는 경우 사용자의 IAM 자격 증명이 아닌 서비스 역할이 S3 데이터에 액세스할 수 있도록 권한을 구성해야 합니다. 일부 Amazon Bedrock 기능은를 사용하는 경우 자동으로 서비스 역할을 생성하고 필요한 자격 증명 기반 권한을 서비스 역할에 연결할 수 있습니다 AWS Management Console.
-
Amazon Bedrock의 일부 기능을 사용하면 자격 증명이 다른 계정의 S3 버킷에 액세스할 수 있습니다. 다른 계정에서 S3 데이터에 액세스해야 하는 경우 버킷 소유자는 SS3 버킷에 연결된 S3 버킷 정책에 위의 리소스 기반 권한을 포함해야 합니다S3.
다음은 S3 데이터에 액세스하는 데 필요한 권한을 연결해야 하는 위치를 결정하는 방법을 설명합니다.
-
IAM 자격 증명 권한
-
리소스 기반 권한
자세한 내용은 다음 링크를 참조하십시오.
-
Amazon S3의 데이터에 대한 액세스 제어에 대한 자세한 내용은 Amazon S3의 액세스 제어를 참조하세요.
-
Amazon S3 권한에 대한 자세한 내용은 Amazon S3에서 정의한 작업을 참조하세요.
-
AWS KMS 권한에 대한 자세한 내용은에서 정의한 작업을 AWS Key Management Service 참조하세요.
사용 사례와 관련된 주제를 진행합니다.
주제
Amazon S3 버킷에 액세스할 수 있도록 IAM 자격 증명에 권한 연결
이 주제에서는 정책이 IAM 자격 증명에 연결하기 위한 템플릿을 제공합니다. 이 정책에는 S3 버킷에 대한 IAM 자격 증명 액세스 권한을 부여하는 권한을 정의하는 다음 문이 포함되어 있습니다.
-
S3 버킷에서 데이터를 검색할 수 있는 권한. 이 문에는 조건 키를 사용하여 버킷의 특정 폴더에 대한 액세스를 제한하는
s3:prefix조건도 포함되어 있습니다. 이 조건에 대한 자세한 내용은 예제 2: 특정 접두사가 있는 버킷의 객체 목록 가져오기의 사용자 정책 섹션을 참조하세요. https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2 -
(S3 위치에 데이터를 작성해야 하는 경우) S3 버킷에 데이터를 쓸 수 있는 권한. 이 문에는 조건 키를 사용하여 특정에서 전송된 요청에 대한 액세스를 제한하는
aws:ResourceAccount조건도 포함되어 있습니다 AWS 계정. -
(S3 버킷이 KMS 키로 암호화된 경우) S3 버킷을 암호화한 KMS 키를 설명하고 해독할 수 있는 권한입니다.
참고
S3 버킷이 버전 관리를 활성화한 경우이 기능을 사용하여 업로드하는 각 객체 버전에는 자체 암호화 키가 있을 수 있습니다. 객체 버전에 사용된 암호화 키를 추적하는 것은 사용자의 책임입니다.
다음 정책의 문, 리소스 및 조건을 추가, 수정 및 제거하고 필요에 따라 ${values}를 바꿉니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${S3Bucket}",
"arn:aws:s3:::${S3Bucket}/*"
]
},
{
"Sid": "WriteToS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${S3Bucket}",
"arn:aws:s3:::${S3Bucket}/*"
]
},
{
"Sid": "DecryptKMSKey",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:${Region}:${AccountId}:key/${KMSKeyId}"
}
]
}사용 사례에 맞게 정책을 수정한 후 S3 버킷에 액세스해야 하는 서비스 역할(또는 IAM 자격 증명)에 연결합니다. IAM 자격 증명에 권한을 연결하는 방법을 알아보려면 IAM 자격 증명 권한 추가 및 제거를 참조하세요.
다른 계정이 버킷에 액세스할 수 있도록 Amazon S3 버킷에 버킷 정책 연결
이 주제에서는 IAM 자격 증명이 버킷의 데이터에 액세스할 수 있도록 S3 버킷에 연결할 리소스 기반 정책에 대한 템플릿을 제공합니다. 이 정책에는 자격 증명이 버킷에 액세스할 수 있는 권한을 정의하는 다음 문이 포함되어 있습니다.
-
S3 버킷에서 데이터를 검색할 수 있는 권한.
-
(S3 위치에 데이터를 작성해야 하는 경우) S3 버킷에 데이터를 쓸 수 있는 권한.
-
(S3 버킷이 KMS 키로 암호화된 경우) S3 버킷을 암호화한 KMS 키를 설명하고 해독할 수 있는 권한입니다.
참고
S3 버킷이 버전 관리를 활성화한 경우이 기능을 사용하여 업로드하는 각 객체 버전에는 자체 암호화 키가 있을 수 있습니다. 객체 버전에 사용된 암호화 키를 추적하는 것은 사용자의 책임입니다.
권한은에 설명된 자격 증명 기반 권한과 유사합니다Amazon S3 버킷에 액세스할 수 있도록 IAM 자격 증명에 권한 연결. 그러나 각 명령문에서는 Principal 필드의 리소스에 권한을 부여할 자격 증명을 지정해야 합니다. Principal 필드에 자격 증명(Amazon Bedrock의 대부분의 기능 포함, 서비스 역할)을 지정합니다. 다음 정책의 문, 리소스 및 조건을 추가, 수정 및 제거하고 필요에 따라 ${values}를 바꿉니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${AccountId}:role/${ServiceRole}"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${S3Bucket}",
"arn:aws:s3:::${S3Bucket}/*"
]
},
{
"Sid": "WriteToS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${AccountId}:role/${ServiceRole}"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${S3Bucket}",
"arn:aws:s3:::${S3Bucket}/*"
]
},
{
"Sid": "DecryptKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${AccountId}:role/${ServiceRole}"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:${Region}:${AccountId}:key/${KMSKeyId}"
}
]
}정책을 사용 사례로 수정한 후 S3 버킷에 연결합니다. 버킷 정책을 S3 버킷에 연결하는 방법을 알아보려면 Amazon S3 콘솔을 사용하여 버킷 정책 추가를 참조하세요.
(고급 보안 옵션) 보다 세분화된 액세스를 위해 문에 조건 포함
리소스에 액세스할 수 있는 자격 증명을 더 잘 제어하려면 정책 설명에 조건을 포함할 수 있습니다. 이 주제의 정책은 다음 조건 키를 사용하는 예제를 제공합니다.
-
s3:prefix- S3 버킷의 특정 폴더에 대한 액세스를 제한하는 S3 조건 키입니다. 이 조건 키에 대한 자세한 내용은 예제 2: 특정 접두사가 있는 버킷의 객체 목록 가져오기의 사용자 정책 섹션을 참조하세요. https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2 -
aws:ResourceAccount- 특정의 요청에 대한 액세스를 제한하는 전역 조건 키입니다 AWS 계정.
다음 정책은 amzn-s3-demo-bucket S3 버킷의 my-folder 폴더에 대한 읽기 액세스를 제한하고 amzn-s3-demo-destination-bucket S3 버킷에 대한 쓰기 액세스를 ID AWS 계정 가 111122223333인의 요청으로 제한합니다. S3
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition" : {
"StringEquals" : {
"s3:prefix": "my-folder"
}
}
},
{
"Sid": "WriteToS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
}
}
}
]
}조건 및 조건 키에 대한 자세한 내용은 다음 링크를 참조하세요.
-
조건에 대한 자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: 조건을 참조하세요.
-
S3와 관련된 조건 키에 대한 자세한 내용은 서비스 권한 부여 참조의 Amazon S3에 사용되는 조건 키를 참조하세요.
-
전역적으로 사용되는 전역 조건 키에 대한 자세한 내용은 AWS 전역 조건 컨텍스트 키를 AWS 서비스참조하세요.
