Amazon Bedrock Agents의 ID 기반 정책 예제 - Amazon Bedrock
Amazon Bedrock Agents에 필요한 권한사용자가 에이전트에 대한 정보를 확인하고 간접 호출할 수 있도록 허용

Amazon Bedrock Agents의 ID 기반 정책 예제

주제를 선택하여 대화형 에이전트를 사용하여 애플리케이션에서 작업 자동화에서 작업에 대한 권한을 프로비저닝하기 위해 IAM 역할에 연결할 수 있는 IAM 정책 예제를 확인하세요.

Amazon Bedrock Agents에 필요한 권한

IAM ID로 Amazon Bedrock Agents를 사용하려면 필요한 권한을 구성해야 합니다. AmazonBedrockFullAccess 정책을 연결하여 역할에 적절한 권한을 부여할 수 있습니다.

Amazon Bedrock Agents에서 사용되는 작업으로만 권한을 제한하려면 다음 ID 기반 정책을 IAM 역할에 연결합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Amazon Bedrock Agents permissions",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource", 
                "bedrock:CreateAgent", 
                "bedrock:UpdateAgent", 
                "bedrock:GetAgent", 
                "bedrock:ListAgents", 
                "bedrock:DeleteAgent",
                "bedrock:CreateAgentActionGroup", 
                "bedrock:UpdateAgentActionGroup", 
                "bedrock:GetAgentActionGroup", 
                "bedrock:ListAgentActionGroups", 
                "bedrock:DeleteAgentActionGroup",
                "bedrock:GetAgentVersion",
                "bedrock:ListAgentVersions", 
                "bedrock:DeleteAgentVersion",
                "bedrock:CreateAgentAlias", 
                "bedrock:UpdateAgentAlias",               
                "bedrock:GetAgentAlias",
                "bedrock:ListAgentAliases",
                "bedrock:DeleteAgentAlias",
                "bedrock:AssociateAgentKnowledgeBase",
                "bedrock:DisassociateAgentKnowledgeBase",
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:PrepareAgent",
                "bedrock:InvokeAgent"
            ],
            "Resource": "*"
        }
    ]   
}

작업을 생략하거나 리소스조건 키를 지정하여 권한을 추가로 제한할 수 있습니다. IAM ID는 특정 리소스에서 API 작업을 직접 호출할 수 있습니다. 예를 들어 UpdateAgent 작업은 에이전트 리소스에서만 사용할 수 있고, InvokeAgent 작업은 별칭 리소스에서만 사용할 수 있습니다. 특정 리소스 유형(예: CreateAgent)에서 사용되지 않는 API 작업의 경우 *를 Resource로 지정합니다. 정책에 지정된 리소스에서 사용할 수 없는 API 작업을 정책에 지정하는 경우 Amazon Bedrock은 오류를 반환합니다.

사용자가 에이전트에 대한 정보를 확인하고 간접 호출할 수 있도록 허용

다음은 IAM 역할에 연결하여 ID가 ​​AGENT12345인 에이전트에 대한 정보를 보거나 편집하고 ID가 ALIAS12345인 별칭과 상호 작용할 수 있는 샘플 정책입니다. 예를 들어, 에이전트의 문제를 해결하고 업데이트하는 권한만 부여하려는 역할에 이 정책을 연결할 수 있습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Get information about and update an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetAgent",
                "bedrock:UpdateAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345"
        },
        {
            "Sid": "Invoke an agent",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:agent-alias/AGENT12345/ALIAS12345"
        },
    ]
}