기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 지식 기반을 생성하고 관리할 수 있는 사용자 또는 역할에 대한 권한 설정
사용자 또는 역할이 Amazon Bedrock Knowledge Bases와 관련된 작업을 수행하려면 작업을 수행할 수 있는 권한을 부여하는 정책을 여기에 연결해야 합니다. 사용자가 이러한 지식 기반에서 정보를 검색하고 해당 지식 기반에서 응답을 생성할 수 있는 권한을 설명합니다.
다음 섹션을 확장하여 특정 사용 사례에 대한 권한을 설정하는 방법을 알아봅니다.
## 역할이 지식 기반을 생성하고 관리할 수 있도록 허용
IAM 역할이 지식 기반을 생성하고, 이를 구조화된 데이터 스토어에 연결하고, 지식 기반을 관리하고, 데이터 소스에서 지식 기반으로의 수집 작업을 시작하고 관리할 수 있도록 하려면 `KnowledgeBase`, `DataSource` 및 `IngestionJob` 작업에 대한 권한을 제공해야 합니다. 지식 기반에 태그를 지정할 수 있는 권한을 제공하려면 `bedrock:TagResource` 및 `bedrock:UntagResource`에 대한 권한을 포함합니다.
**참고**
사용자 또는 역할에 [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess) AWS 관리형 정책이 연결되어 있는 경우이 사전 조건을 건너뛸 수 있습니다.
역할이 이러한 작업을 수행하도록 허용하려면 역할에 다음 정책을 연결합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateKB",
"Effect": "Allow",
"Action": [
"bedrock:CreateKnowledgeBase"
],
"Resource": "*"
},
{
"Sid": "KBDataSourceManagement",
"Effect": "Allow",
"Action": [
"bedrock:GetKnowledgeBase",
"bedrock:ListKnowledgeBases",
"bedrock:UpdateKnowledgeBase",
"bedrock:DeleteKnowledgeBase",
"bedrock:StartIngestionJob",
"bedrock:GetIngestionJob",
"bedrock:ListIngestionJobs",
"bedrock:StopIngestionJob",
"bedrock:TagResource",
"bedrock:UntagResource"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
]
}
]
}
```
------
지식 기반을 생성한 후에는 와일드카드(*\$1*)를 생성한 지식 기반의 ID로 대체하여 `KBDataSourceManagement` 통계의 권한 범위를 줄이는 것이 좋습니다.
## 역할이 지식 기반 API 작업을 수행하도록 허용
이 섹션에서는 지식 기반에 대한 `Retrieve` 및 `RetrieveAndGenerate` API 작업을 수행하는 데 필요한 권한을 설명합니다.
다음 정책을 역할에 연결합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GetKB",
"Effect": "Allow",
"Action": [
"bedrock:GetKnowledgeBase"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/${KnowledgeBaseId}"
]
},
{
"Sid": "Retrieve",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/${KnowledgeBaseId}"
]
},
{
"Sid": "RetrieveAndGenerate",
"Effect": "Allow",
"Action": [
"bedrock:RetrieveAndGenerate"
],
"Resource": [
"*"
]
}
]
}
```
------
사용 사례에 따라 필요하지 않은 문을 제거할 수 있습니다.
+ `GetKB` 문은 지식 기반 정보를 가져오는 데 사용됩니다.
+ `Retrieve` 문은 [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html)를 호출하여 데이터 스토어에서 데이터를 검색하는 데 필요합니다.
+ `RetrieveAndGenerate` 문은 [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html)를 호출하여 데이터 스토어에서 데이터를 검색하고 데이터를 기반으로 응답을 생성하는 데 필요합니다.
## RetrieveAndGenerate의 파운데이션 모델에 대한 액세스 요청
[https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html)를 사용하여 데이터 소스에서 검색된 데이터를 기반으로 응답을 생성하려는 경우 [모델에 대한 액세스 요청](model-access.md)의 단계에 따라 생성에 사용할 파운데이션 모델에 대한 액세스를 요청합니다.
권한을 더욱 제한하려면 작업을 생략하거나 리소스 및 조건 키를 지정하여 권한을 필터링할 수 있습니다. 작업, 리소스 및 조건 키에 대한 자세한 내용은 *서비스 권한 부여 참조*에서 다음 주제를 참조하세요.
+ [Amazon Bedrock에서 정의한 작업](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) - 작업, `Resource` 필드에서 작업의 범위를 지정할 수 있는 리소스 유형, `Condition` 필드에서 권한을 필터링할 수 있는 조건 키에 대해 알아봅니다.
+ [Amazon Bedrock에서 정의한 리소스 유형](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) - Amazon Bedrock의 리소스 유형에 대해 알아봅니다.
+ [Amazon Bedrock의 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) - Amazon Bedrock의 조건 키에 대해 알아봅니다.