배치 추론에 필요한 필수 권한 - Amazon Bedrock
IAM 자격 증명이 배치 추론 작업을 제출하고 관리하는 데 필요한 권한서비스 역할이 배치 추론을 수행하는 데 필요한 권한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

배치 추론에 필요한 필수 권한

배치 추론을 수행하려면 다음 IAM 자격 증명에 대한 권한을 설정해야 합니다.

  • 배치 추론 작업을 생성하고 관리하는 IAM 자격 증명입니다.

  • Amazon Bedrock이 사용자를 대신하여 작업을 수행하기 위해 맡는 배치 추론 서비스 역할입니다.

각 자격 증명에 대한 권한을 설정하는 방법을 알아보려면 다음 주제를 살펴봅니다.

IAM 자격 증명이 배치 추론 작업을 제출하고 관리하는 데 필요한 권한

IAM 자격 증명으로 이 기능을 사용하려면 필요한 권한을 구성해야 합니다. 이렇게 하려면 다음 중 한 가지를 수행합니다.

  • 자격 증명이 모든 Amazon Bedrock 작업을 수행하도록 허용하려면 AmazonBedrockFullAccess 정책을 자격 증명에 연결합니다. 이렇게 하면 이 주제를 건너뛸 수 있습니다. 이 옵션은 덜 안전합니다.

  • 보안 모범 사례로 자격 증명에 필요한 작업만 허용해야 합니다. 이 주제에서는 이 기능에 필요한 권한을 설명합니다.

배치 추론에 사용되는 작업으로만 권한을 제한하려면 다음 자격 증명 기반 정책을 IAM 자격 증명에 연결합니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BatchInference",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:ListInferenceProfiles",
                "bedrock:GetInferenceProfile",
                "bedrock:ListCustomModels",
                "bedrock:GetCustomModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource",
                "bedrock:CreateModelInvocationJob",
                "bedrock:GetModelInvocationJob",
                "bedrock:ListModelInvocationJobs",
                "bedrock:StopModelInvocationJob"
            ],
            "Resource": "*"
        }
    ]   
}

권한을 더욱 제한하려면 작업을 생략하거나 리소스 및 조건 키를 지정하여 권한을 필터링할 수 있습니다. 작업, 리소스 및 조건 키에 대한 자세한 내용은 서비스 권한 부여 참조에서 다음 주제를 참조하세요.

다음 정책은 배치 추론 권한을 계정 ID 123456789012를 가진 사용자만 us-west-2 리전에서 Anthropic Claude 3 Haiku 모델을 사용하여 배치 추론 작업을 생성할 수 있도록 제한하는 예제입니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateBatchInferenceJob",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateModelInvocationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                "arn:aws:bedrock:us-west-2:123456789012:model-invocation-job/*"
            ]
        }
    ]
}

서비스 역할이 배치 추론을 수행하는 데 필요한 권한

배치 추론은 사용자를 대신하여 작업을 수행하기 위해 자격 증명을 맡는 서비스 역할에 의해 수행됩니다. 서비스 역할은 다음 방법으로 생성할 수 있습니다.

  • AWS Management Console을 사용하여 Amazon Bedrock이 필요한 권한을 가진 서비스 역할을 자동으로 생성하도록 합니다. 배치 추론 작업을 생성할 때 이 옵션을 선택할 수 있습니다.

  • 를 사용하여 Amazon Bedrock에 대한 사용자 지정 서비스 역할을 AWS Identity and Access Management생성하고 필요한 권한을 연결합니다. 배치 추론 작업을 제출할 때 이 역할을 지정합니다. 배치 추론을 위한 사용자 지정 서비스 역할 생성에 대한 자세한 내용은 배치 추론을 위한 사용자 지정 서비스 역할 생성 섹션을 참조하세요. 서비스 역할 생성에 대한 자세한 내용은 IAM 사용 설명서의 AWS 서비스에 대한 권한을 위임할 역할 생성을 참조하세요.

중요

  • 배치 추론을 위해 데이터를 업로드한 S3 버킷이 다른에 있는 AWS 계정경우 서비스 역할이 데이터에 액세스할 수 있도록 S3 버킷 정책을 구성해야 합니다. 콘솔을 사용하여 서비스 역할을 자동으로 생성하더라도 이 정책을 수동으로 구성해야 합니다. Amazon Bedrock 리소스에 대한 S3 버킷 정책을 구성하는 방법은 다른 계정이 액세스할 수 있도록 Amazon S3 버킷에 버킷 정책 연결 섹션을 참조하세요.

  • Amazon Bedrock의 파운데이션 모델은 고객 소유권이 필요한 IAM 정책 조건에 사용할 수 없는 AWS관리형 리소스입니다. 이러한 모델은 개별 고객이 소유하고 운영AWS하며 개별 고객이 소유할 수 없습니다. 파운데이션 모델에 적용하면 고객 소유 리소스(예: 리소스 태그, 조직 ID 또는 기타 소유권 속성을 사용하는 조건)를 확인하는 모든 IAM 정책 조건이 실패하여 이러한 서비스에 대한 합법적인 액세스를 차단할 수 있습니다.

    예를 들어 정책에 다음과 같은 aws:ResourceOrgID 조건이 포함된 경우:

    {
  "Condition": {
    "StringEqualsIgnoreCase": {
      "aws:ResourceOrgID": ["o-xxxxxxxx"]
    }
  }
}

    배치 추론 작업은에서 실패합니다AccessDeniedException. aws:ResourceOrgID 조건을 제거하거나 파운데이션 모델에 대해 별도의 정책 설명을 생성합니다.