기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon Bedrock Agents의 ID 기반 정책 예제
주제를 선택하여 [AI 에이전트를 사용하여 애플리케이션에서 태스크 자동화](agents.md)에서 작업에 대한 권한을 프로비저닝하기 위해 IAM 역할에 연결할 수 있는 IAM 정책 예제를 확인하세요.
**Topics**
+ [Amazon Bedrock Agents에 필요한 권한](#iam-agents-ex-all)
+ [사용자가 에이전트에 대한 정보를 확인하고 간접 호출할 수 있도록 허용](#security_iam_id-based-policy-examples-perform-actions-agent)
+ [서비스 계층에 대한 액세스 제어](#security_iam_id-based-policy-examples-service-tiers)
## Amazon Bedrock Agents에 필요한 권한
IAM ID로 Amazon Bedrock Agents를 사용하려면 필요한 권한을 구성해야 합니다. [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess) 정책을 연결하여 역할에 적절한 권한을 부여할 수 있습니다.
Amazon Bedrock Agents에서 사용되는 작업으로만 권한을 제한하려면 다음 ID 기반 정책을 IAM 역할에 연결합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AgentPermissions",
"Effect": "Allow",
"Action": [
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModel",
"bedrock:TagResource",
"bedrock:UntagResource",
"bedrock:ListTagsForResource",
"bedrock:CreateAgent",
"bedrock:UpdateAgent",
"bedrock:GetAgent",
"bedrock:ListAgents",
"bedrock:DeleteAgent",
"bedrock:CreateAgentActionGroup",
"bedrock:UpdateAgentActionGroup",
"bedrock:GetAgentActionGroup",
"bedrock:ListAgentActionGroups",
"bedrock:DeleteAgentActionGroup",
"bedrock:GetAgentVersion",
"bedrock:ListAgentVersions",
"bedrock:DeleteAgentVersion",
"bedrock:CreateAgentAlias",
"bedrock:UpdateAgentAlias",
"bedrock:GetAgentAlias",
"bedrock:ListAgentAliases",
"bedrock:DeleteAgentAlias",
"bedrock:AssociateAgentKnowledgeBase",
"bedrock:DisassociateAgentKnowledgeBase",
"bedrock:ListAgentKnowledgeBases",
"bedrock:GetKnowledgeBase",
"bedrock:ListKnowledgeBases",
"bedrock:PrepareAgent",
"bedrock:InvokeAgent",
"bedrock:AssociateAgentCollaborator",
"bedrock:DisassociateAgentCollaborator",
"bedrock:GetAgentCollaborator",
"bedrock:ListAgentCollaborators",
"bedrock:UpdateAgentCollaborator"
],
"Resource": "*"
}
]
}
```
------
[작업](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions)을 생략하거나 [리소스](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources) 및 [조건 키](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys)를 지정하여 권한을 추가로 제한할 수 있습니다. IAM ID는 특정 리소스에서 API 작업을 직접 호출할 수 있습니다. 예를 들어 [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_UpdateAgent.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_UpdateAgent.html) 작업은 에이전트 리소스에서만 사용할 수 있고, [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeAgent.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeAgent.html) 작업은 별칭 리소스에서만 사용할 수 있습니다. 특정 리소스 유형(예: [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateAgent.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateAgent.html))에서 사용되지 않는 API 작업의 경우 \$1를 `Resource`로 지정합니다. 정책에 지정된 리소스에서 사용할 수 없는 API 작업을 정책에 지정하는 경우 Amazon Bedrock은 오류를 반환합니다.
## 사용자가 에이전트에 대한 정보를 확인하고 간접 호출할 수 있도록 허용
다음은 IAM 역할에 연결하여 ID가 *AGENT12345*인 에이전트에 대한 정보를 보거나 편집하고 ID가 *ALIAS12345*인 별칭과 상호 작용할 수 있는 샘플 정책입니다. 예를 들어, 에이전트의 문제를 해결하고 업데이트하는 권한만 부여하려는 역할에 이 정책을 연결할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GetAndUpdateAgent",
"Effect": "Allow",
"Action": [
"bedrock:GetAgent",
"bedrock:UpdateAgent"
],
"Resource": "arn:aws:bedrock:us-east-1:123456789012:agent/AgentId"
},
{
"Sid": "InvokeAgent",
"Effect": "Allow",
"Action": [
"bedrock:InvokeAgent"
],
"Resource": "arn:aws:bedrock:us-east-1:123456789012:agent-alias/AgentId/AgentAliasId"
}
]
}
```
------
## 서비스 계층에 대한 액세스 제어
Amazon Bedrock 서비스 계층은 추론 요청에 대해 다양한 수준의 처리 우선 순위 및 요금을 제공합니다. 기본적으로 모든 서비스 계층(우선 순위, 기본값 및 유연성)은 명시적으로 제한되지 않는 한 액세스 권한이 부여되는 허용 목록 접근 방식에 따라 적절한 Bedrock 권한이 있는 사용자가 사용할 수 있습니다.
그러나 조직은 사용자가 비용을 관리하거나 사용 정책을 적용하기 위해 액세스할 수 있는 서비스 계층을 제어하고자 할 수 있습니다. `bedrock:ServiceTier` 조건 키와 함께 IAM 정책을 사용하여 특정 서비스 계층에 대한 액세스를 거부함으로써 액세스 제한을 구현할 수 있습니다. 이 접근 방식을 사용하면 “우선 순위”와 같은 프리미엄 서비스 티어 또는 “유연”과 같은 비용 최적화 티어를 사용할 수 있는 팀원을 세밀하게 제어할 수 있습니다.
다음 예제는 모든 서비스 계층에 대한 액세스를 거부하는 자격 증명 기반 정책을 보여줍니다. 이 유형의 정책은 사용자가 서비스 계층을 지정하지 못하도록 하여 시스템 기본 동작을 사용하도록 강제하려는 경우에 유용합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "bedrock:InvokeModel",
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:ServiceTier": ["reserved", "priority", "default", "flex"]
}
}
}
]
}
```
`bedrock:ServiceTier` 조건 값을 수정하여 특정 서비스 계층에 대한 액세스만 거부하도록이 정책을 사용자 지정할 수 있습니다. 예를 들어 "default" 및 "flex"를 허용하면서 프리미엄 "priority" 티어만 거부하려면 조건에서만 `["priority"]`를 지정합니다. 이 유연한 접근 방식을 사용하면 조직의 비용 관리 및 운영 요구 사항에 맞는 사용 정책을 구현할 수 있습니다. 서비스 티어에 대한 자세한 내용은 섹션을 참조하세요[성능 및 비용 최적화를 위한 서비스 티어](service-tiers-inference.md).