Amazon Bedrock에 대한 SCP 예제 - AWS Organizations
특정 Amazon Bedrock 모델에 대한 액세스 거부특정 Amazon Bedrock 모델에 대한 액세스 제한Amazon Bedrock API 키의 생성 및 사용 제한장기 Amazon Bedrock API 키 생성 제한

Amazon Bedrock에 대한 SCP 예제

특정 Amazon Bedrock 모델에 대한 액세스 거부

다음 서비스 제어 정책(SCP)은 전체 조직의 특정 Amazon Bedrock 모델 또는 모델 패밀리에 대한 액세스를 차단합니다. 이 정책은 조직의 규정 준수, 비용 또는 보안 요구 사항을 충족하지 않을 수 있는 특정 모델의 사용을 방지하려는 경우에 유용합니다.

이 정책은 지정된 파운데이션 모델에 대한 모든 Amazon Bedrock 작업을 거부합니다. 이 예제에서 해당 정책은 Deepseek 모델에 대한 액세스를 차단합니다. 리소스 ARN의 와일드카드(.*)는 지정된 모델 패밀리의 모든 버전 및 변형과 일치합니다. 필요에 따라 Resource 배열에 모델 ARN을 추가하여 다른 모델에 대한 액세스를 차단할 수 있습니다.

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyModelAccessEverywhere",
      "Effect": "Deny",
      "Action": "bedrock:*",
      "Resource": [
        "arn:aws:bedrock:*:*:foundation-model/deepseek.*"
      ]
    }
  ]
}

전체 조직의 특정 Amazon Bedrock 모델 또는 모델 패밀리에 대한 액세스 제한

다음 서비스 제어 정책(SCP)은 사용자와 역할이 승인되지 않은 Amazon Bedrock 파운데이션 모델에 액세스하지 못하도록 제한합니다. 이 정책은 NotResource 요소에 명시적으로 지정한 모델을 제외한 모든 Amazon Bedrock 모델에 대한 액세스를 거부합니다.

이 정책을 사용하려면 <model-unique-identifier>을(를) 허용하려는 특정 모델로 바꿉니다. 예를 들어, 모든 Amazon 파운데이션 모델을 허용하기 위해 amazon.*을(를) 사용하거나, 보다 세분화된 제어를 위해 amazon.titan-text-premier-v1:0와 같은 개별 모델 ID를 지정할 수 있습니다. NotResource 배열에 여러 모델 ARN을 추가하여 승인된 여러 모델에 대한 액세스를 허용할 수 있습니다.

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PermittedModels",
      "Effect": "Deny",
      "Action": "bedrock:*",
      "NotResource": [
        "arn:aws:bedrock:*:*:foundation-model/<model-unique-identifier>"
      ]
    }
  ]
}

Amazon Bedrock API 키의 생성 및 사용 제한

다음 서비스 제어 정책(SCP)은 사용자가 Amazon Bedrock 서비스별 자격 증명 API 키를 생성하고 사용하는 것을 제한합니다. 서비스별 자격 증명 API 키는 표준 IAM 역할 기반 인증 외부에서 Amazon Bedrock에 프로그래밍 방식으로 액세스할 수 있으므로 제대로 관리하지 않으면 보안 위험이 발생할 수 있습니다. 이 정책은 새 서비스별 자격 증명 API 키 생성과 기존 자격 증명 사용을 모두 차단합니다.

이 정책은 두 가지 작업을 거부하여 작동합니다. 즉, iam:CreateServiceSpecificCredential이(가) 사용자가 새 Amazon Bedrock 서비스별 자격 증명 API 키를 생성하지 못하도록 하는 반면, bedrock:CallWithBearerToken은(는) 소유자 토큰(서비스별 자격 증명 API 키)을 사용하여 Amazon Bedrock API 호출을 인증하지 못하도록 합니다.

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iam:CreateServiceSpecificCredential",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": "bedrock:CallWithBearerToken",
      "Resource": "*"
    }
  ]
}

30일 이상 유효한 장기 Amazon Bedrock API 키 생성 제한

다음 서비스 제어 정책(SCP)은 사용자가 30일 이상 유효한 장기 Amazon Bedrock 서비스별 자격 증명 API 키를 생성하지 못하도록 제한합니다. 서비스별 자격 증명 API 키를 30일 이하로 제한하면 이러한 위험을 줄이고 정기적인 자격 증명 교체를 장려할 수 있습니다.

이 정책은 요청된 유효 기간이 30일을 초과하면 Amazon Bedrock 서비스별 자격 증명 생성을 거부합니다. iam:ServiceSpecificCredentialAgeDays 조건 키는 자격 증명 생성 중에 요청된 만료 시간을 확인합니다. NumericGreaterThanEquals 조건의 값을 변경하여 조직의 보안 요구 사항에 맞게 30일 제한을 조정할 수 있습니다.

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iam:CreateServiceSpecificCredential",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
        },
        "NumericGreaterThanEquals": {
          "iam:ServiceSpecificCredentialAgeDays": "30"
        }
      }
    }
  ]
}