Amazon Bedrock용 에이전트의 자격 증명 기반 정책 예제 - Amazon Bedrock
Amazon Bedrock용 에이전트에 필요한 권한사용자가 에이전트에 대한 정보를 보고 에이전트를 호출할 수 있도록 허용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Bedrock용 에이전트의 자격 증명 기반 정책 예제

주제를 선택하면 IAM 역할에 연결하여 작업에 대한 권한을 프로비저닝할 수 있는 예제 IAM 정책을 볼 수 있습니다. Amazon Bedrock용 에이전트

Amazon Bedrock용 에이전트에 필요한 권한

Amazon Bedrock용 에이전트를 사용하려면 IAM 자격 증명을 필요한 권한으로 구성해야 합니다. AmazonBedrockFullAccess정책을 연결하여 역할에 적절한 권한을 부여할 수 있습니다.

Amazon Bedrock용 에이전트에서 사용되는 작업으로만 권한을 제한하려면 다음 ID 기반 정책을 IAM 역할에 연결하십시오.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Agents for Amazon Bedrock permissions",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource", 
                "bedrock:CreateAgent", 
                "bedrock:UpdateAgent", 
                "bedrock:GetAgent", 
                "bedrock:ListAgents", 
                "bedrock:DeleteAgent",
                "bedrock:CreateAgentActionGroup", 
                "bedrock:UpdateAgentActionGroup", 
                "bedrock:GetAgentActionGroup", 
                "bedrock:ListAgentActionGroups", 
                "bedrock:DeleteAgentActionGroup",
                "bedrock:GetAgentVersion",
                "bedrock:ListAgentVersions", 
                "bedrock:DeleteAgentVersion",
                "bedrock:CreateAgentAlias", 
                "bedrock:UpdateAgentAlias",               
                "bedrock:GetAgentAlias",
                "bedrock:ListAgentAliases",
                "bedrock:DeleteAgentAlias",
                "bedrock:AssociateAgentKnowledgeBase",
                "bedrock:DisassociateAgentKnowledgeBase",
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:PrepareAgent",
                "bedrock:InvokeAgent"
            ],
            "Resource": "*"
        }
    ]   
}

작업을 생략하거나 리소스 및 조건 키를 지정하여 권한을 추가로 제한할 수 있습니다. IAM ID는 특정 리소스에 대한 API 작업을 호출할 수 있습니다. 예를 들어 UpdateAgent작업은 에이전트 리소스에서만 사용할 수 있고 InvokeAgent작업은 별칭 리소스에서만 사용할 수 있습니다. 특정 리소스 유형 (예: CreateAgent) 에서 사용되지 않는 API 작업의 경우 *를 로 지정하세요. Resource 정책에 지정된 리소스에서 사용할 수 없는 API 작업을 지정하는 경우 Amazon Bedrock은 오류를 반환합니다.

사용자가 에이전트에 대한 정보를 보고 에이전트를 호출할 수 있도록 허용

다음은 IAM 역할에 연결하여 ID가 AGENT12345 인 에이전트에 대한 정보를 보거나 편집하고 ID가 ALIAS12345 인 에이전트의 별칭과 상호 작용하도록 허용할 수 있는 샘플 정책입니다. 예를 들어 에이전트의 문제를 해결하고 업데이트할 권한만 갖고 싶은 역할에 이 정책을 추가할 수 있습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Get information about and update an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetAgent",
                "bedrock:UpdateAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345"
        },
        {
            "Sid": "Invoke an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345"
        },
    ]
}