기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 배치 추론에 필요한 필수 권한
<a name="batch-inference-permissions"></a>

배치 추론을 수행하려면 다음 IAM 자격 증명에 대한 권한을 설정해야 합니다.
+ 배치 추론 작업을 생성하고 관리하는 IAM 자격 증명입니다.
+ Amazon Bedrock이 사용자를 대신하여 작업을 수행하기 위해 맡는 배치 추론 [서비스 역할](security-iam-sr.md)입니다.

각 자격 증명에 대한 권한을 설정하는 방법을 알아보려면 다음 주제를 살펴봅니다.

**Topics**
+ [IAM 자격 증명이 배치 추론 작업을 제출하고 관리하는 데 필요한 권한](#batch-inference-permissions-user)
+ [서비스 역할이 배치 추론을 수행하는 데 필요한 권한](#batch-inference-permissions-service)

## IAM 자격 증명이 배치 추론 작업을 제출하고 관리하는 데 필요한 권한
<a name="batch-inference-permissions-user"></a>

IAM 자격 증명으로 이 기능을 사용하려면 필요한 권한을 구성해야 합니다. 이렇게 하려면 다음 중 한 가지를 수행합니다.
+ 자격 증명이 모든 Amazon Bedrock 작업을 수행하도록 허용하려면 [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess) 정책을 자격 증명에 연결합니다. 이렇게 하면 이 주제를 건너뛸 수 있습니다. 이 옵션은 덜 안전합니다.
+ 보안 모범 사례로 자격 증명에 필요한 작업만 허용해야 합니다. 이 주제에서는 이 기능에 필요한 권한을 설명합니다.

배치 추론에 사용되는 작업으로만 권한을 제한하려면 다음 자격 증명 기반 정책을 IAM 자격 증명에 연결합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BatchInference",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:ListInferenceProfiles",
                "bedrock:GetInferenceProfile",
                "bedrock:ListCustomModels",
                "bedrock:GetCustomModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource",
                "bedrock:CreateModelInvocationJob",
                "bedrock:GetModelInvocationJob",
                "bedrock:ListModelInvocationJobs",
                "bedrock:StopModelInvocationJob"
            ],
            "Resource": "*"
        }
    ]   
}
```

------

권한을 더욱 제한하려면 작업을 생략하거나 리소스 및 조건 키를 지정하여 권한을 필터링할 수 있습니다. 작업, 리소스 및 조건 키에 대한 자세한 내용은 *서비스 권한 부여 참조*에서 다음 주제를 참조하세요.
+ [Amazon Bedrock에서 정의한 작업](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) - 작업, `Resource` 필드에서 작업의 범위를 지정할 수 있는 리소스 유형, `Condition` 필드에서 권한을 필터링할 수 있는 조건 키에 대해 알아봅니다.
+ [Amazon Bedrock에서 정의한 리소스 유형](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) - Amazon Bedrock의 리소스 유형에 대해 알아봅니다.
+ [Amazon Bedrock의 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) - Amazon Bedrock의 조건 키에 대해 알아봅니다.

다음 정책은 배치 추론 권한을 계정 ID `123456789012`를 가진 사용자만 `us-west-2` 리전에서 Anthropic Claude 3 Haiku 모델을 사용하여 배치 추론 작업을 생성할 수 있도록 제한하는 예제입니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateBatchInferenceJob",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateModelInvocationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                "arn:aws:bedrock:us-west-2:123456789012:model-invocation-job/*"
            ]
        }
    ]
}
```

------

## 서비스 역할이 배치 추론을 수행하는 데 필요한 권한
<a name="batch-inference-permissions-service"></a>

배치 추론은 사용자를 대신하여 작업을 수행하기 위해 자격 증명을 맡는 [서비스 역할](security-iam-sr.md)에 의해 수행됩니다. 서비스 역할은 다음 방법으로 생성할 수 있습니다.
+ AWS Management Console을 사용하여 Amazon Bedrock이 필요한 권한을 가진 서비스 역할을 자동으로 생성하도록 합니다. 배치 추론 작업을 생성할 때 이 옵션을 선택할 수 있습니다.
+ 를 사용하여 Amazon Bedrock에 대한 사용자 지정 서비스 역할을 AWS Identity and Access Management생성하고 필요한 권한을 연결합니다. 배치 추론 작업을 제출할 때 이 역할을 지정합니다. 배치 추론을 위한 사용자 지정 서비스 역할 생성에 대한 자세한 내용은 [배치 추론을 위한 사용자 지정 서비스 역할 생성](batch-iam-sr.md) 섹션을 참조하세요. 서비스 역할 생성에 대한 자세한 내용은 IAM 사용 설명서의 [AWS 서비스에 대한 권한을 위임할 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)을 참조하세요.

**중요**  
[배치 추론을 위해 데이터를 업로드](batch-inference-data.md)한 S3 버킷이 다른에 있는 AWS 계정경우 서비스 역할이 데이터에 액세스할 수 있도록 S3 버킷 정책을 구성해야 합니다. 콘솔을 사용하여 서비스 역할을 자동으로 생성하더라도 이 정책을 수동으로 구성해야 합니다. Amazon Bedrock 리소스에 대한 S3 버킷 정책을 구성하는 방법은 [다른 계정이 액세스할 수 있도록 Amazon S3 버킷에 버킷 정책 연결](s3-bucket-access.md#s3-bucket-access-cross-account) 섹션을 참조하세요.
Amazon Bedrock의 파운데이션 모델은 고객 소유권이 필요한 IAM 정책 조건에 사용할 수 없는 AWS관리형 리소스입니다. 이러한 모델은 개별 고객이 소유하고 운영AWS하며 개별 고객이 소유할 수 없습니다. 파운데이션 모델에 적용하면 고객 소유 리소스(예: 리소스 태그, 조직 ID 또는 기타 소유권 속성을 사용하는 조건)를 확인하는 모든 IAM 정책 조건이 실패하여 이러한 서비스에 대한 합법적인 액세스를 차단할 수 있습니다.  
예를 들어 정책에 다음과 같은 `aws:ResourceOrgID` 조건이 포함된 경우:  

  ```
  {
    "Condition": {
      "StringEqualsIgnoreCase": {
        "aws:ResourceOrgID": ["o-xxxxxxxx"]
      }
    }
  }
  ```
배치 추론 작업은에서 실패합니다`AccessDeniedException`. `aws:ResourceOrgID` 조건을 제거하거나 파운데이션 모델에 대해 별도의 정책 설명을 생성합니다.