Amazon Bedrock Marketplace 모델에 대한 액세스 제어 - Amazon Bedrock

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Bedrock Marketplace 모델에 대한 액세스 제어

Amazon Bedrock 전체 액세스 정책을 사용하여 SageMaker AI에 권한을 제공할 수 있습니다. 사용자가 다른 모든 모델에 대한 액세스를 유지하면서 특정 Bedrock Marketplace 모델에 액세스하지 못하도록 하려면 거부 정책을 사용합니다. 다음 정책은 특정 모델에 대한 액세스를 거부하는 방법을 보여줍니다.

특정 모델에 대한 액세스 거부:

JSON
{ "Version": "2012-10-17", "Statement": [ { "Sid": "MarketplaceModelDeny", "Effect": "Deny", "Action": [ "sagemaker:*", "bedrock:*" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringLike": { "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/<model-id-to-deny>/*" } } } ] }
중요

이 정책은 다른 모든 Bedrock Marketplace 모델에 대한 액세스를 허용하면서 지정된 모델에 대한 액세스를 명시적으로 거부합니다(다른 필요한 권한이 있다고 가정합니다.

특정 모델에 대한 액세스만 허용

사용자가 특정 Bedrock Marketplace 모델에만 액세스하도록 제한하려면 명시적 모델 사양이 있는 허용 정책을 사용합니다. 다음 정책은 특정 모델에 대한 액세스만 허용하는 방법을 보여줍니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "MarketplaceModelAllow", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:DeleteEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com", "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible" }, "StringLike": { "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/<model-id-to-allow>/*" } } }, { "Sid": "BedrockEndpointTaggingOperations", "Effect": "Allow", "Action": [ "sagemaker:AddTags", "sagemaker:DeleteTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringLike": { "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/<model-id-to-allow>/*" } } }, ] }

이 정책은 지정된 모델에 대한 액세스만 허용하고 다른 모든 모델에 대한 액세스를 거부합니다. 정책을에서 기반으로 하는 경우 MarketplaceModelEndpointMutatingAPIsBedrockEndpointTaggingOperations 문을 대체AmazonBedrockFullAccess해야 합니다.