기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Bedrock Agents의 ID 기반 정책 예제
주제를 선택하여 AI 에이전트를 사용하여 애플리케이션에서 태스크 자동화에서 작업에 대한 권한을 프로비저닝하기 위해 IAM 역할에 연결할 수 있는 IAM 정책 예제를 확인하세요.
Amazon Bedrock Agents에 필요한 권한
IAM ID로 Amazon Bedrock Agents를 사용하려면 필요한 권한을 구성해야 합니다. AmazonBedrockFullAccess 정책을 연결하여 역할에 적절한 권한을 부여할 수 있습니다.
Amazon Bedrock Agents에서 사용되는 작업으로만 권한을 제한하려면 다음 ID 기반 정책을 IAM 역할에 연결합니다.
작업을 생략하거나 리소스 및 조건 키를 지정하여 권한을 추가로 제한할 수 있습니다. IAM ID는 특정 리소스에서 API 작업을 직접 호출할 수 있습니다. 예를 들어 UpdateAgent 작업은 에이전트 리소스에서만 사용할 수 있고, InvokeAgent 작업은 별칭 리소스에서만 사용할 수 있습니다. 특정 리소스 유형(예: CreateAgent)에서 사용되지 않는 API 작업의 경우 *를 Resource로 지정합니다. 정책에 지정된 리소스에서 사용할 수 없는 API 작업을 정책에 지정하는 경우 Amazon Bedrock은 오류를 반환합니다.
사용자가 에이전트에 대한 정보를 확인하고 간접 호출할 수 있도록 허용
다음은 IAM 역할에 연결하여 ID가 AGENT12345인 에이전트에 대한 정보를 보거나 편집하고 ID가 ALIAS12345인 별칭과 상호 작용할 수 있는 샘플 정책입니다. 예를 들어, 에이전트의 문제를 해결하고 업데이트하는 권한만 부여하려는 역할에 이 정책을 연결할 수 있습니다.
서비스 계층에 대한 액세스 제어
Amazon Bedrock 서비스 계층은 추론 요청에 대해 다양한 수준의 처리 우선 순위 및 요금을 제공합니다. 기본적으로 모든 서비스 계층(우선 순위, 기본값 및 유연성)은 명시적으로 제한되지 않는 한 액세스 권한이 부여되는 허용 목록 접근 방식에 따라 적절한 Bedrock 권한이 있는 사용자가 사용할 수 있습니다.
그러나 조직은 사용자가 비용을 관리하거나 사용 정책을 적용하기 위해 액세스할 수 있는 서비스 계층을 제어하고자 할 수 있습니다. bedrock:ServiceTier 조건 키와 함께 IAM 정책을 사용하여 특정 서비스 계층에 대한 액세스를 거부함으로써 액세스 제한을 구현할 수 있습니다. 이 접근 방식을 사용하면 “우선 순위”와 같은 프리미엄 서비스 티어 또는 “유연”과 같은 비용 최적화 티어를 사용할 수 있는 팀원을 세밀하게 제어할 수 있습니다.
다음 예제는 모든 서비스 계층에 대한 액세스를 거부하는 자격 증명 기반 정책을 보여줍니다. 이 유형의 정책은 사용자가 서비스 계층을 지정하지 못하도록 하여 시스템 기본 동작을 사용하도록 강제하려는 경우에 유용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "bedrock:InvokeModel", "Resource": "*", "Condition": { "StringEquals": { "bedrock:ServiceTier": ["reserved", "priority", "default", "flex"] } } } ] }
bedrock:ServiceTier 조건 값을 수정하여 특정 서비스 계층에 대한 액세스만 거부하도록이 정책을 사용자 지정할 수 있습니다. 예를 들어 "default" 및 "flex"를 허용하면서 프리미엄 "priority" 티어만 거부하려면 조건에서만 ["priority"]를 지정합니다. 이 유연한 접근 방식을 사용하면 조직의 비용 관리 및 운영 요구 사항에 맞는 사용 정책을 구현할 수 있습니다. 서비스 티어에 대한 자세한 내용은 섹션을 참조하세요성능 및 비용 최적화를 위한 서비스 티어.
