가드레일에 대한 권한 설정 - Amazon Bedrock
가드레일을 만들고 관리할 수 있는 권한가드레일을 호출할 수 있는 권한(선택 사항) 가드레일용 고객 관리 키 생성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

가드레일에 대한 권한 설정

가드레일을 사용할 권한이 있는 역할을 설정하려면 AWS 서비스에 권한을 위임하기 위한 역할 생성의 단계에 따라 IAM 역할을 생성하고 다음 권한을 연결하십시오.

에이전트와 함께 가드레일을 사용하는 경우 에이전트를 생성하고 관리할 권한이 있는 서비스 역할에 권한을 부여하세요. 콘솔에서 이 역할을 설정하거나 의 단계에 따라 사용자 지정 역할을 만들 수 있습니다. Amazon Bedrock용 에이전트의 서비스 역할 생성

  • Amazon 베드락 파운데이션 모델을 호출할 수 있는 권한

  • 가드레일을 생성하고 관리할 수 있는 권한

  • (선택 사항) 고객이 AWS KMS 관리하는 가드레일의 키를 복호화할 수 있는 권한

가드레일을 만들고 관리할 수 있는 권한

가드레일을 사용하는 역할의 정책 Statement 필드에 다음 설명을 추가하십시오.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateGuardrail",
                "bedrock:CreateGuardrailVersion",
                "bedrock:DeleteGuardrail", 
                "bedrock:GetGuardrail", 
                "bedrock:ListGuardrails", 
                "bedrock:UpdateGuardrail"
            ],
            "Resource": "*"
        }
    ]   
}

가드레일을 호출할 수 있는 권한

모델 추론을 허용하고 가드레일을 호출할 역할에 대한 정책 Statement 필드에 다음 명령문을 추가하십시오.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InvokeFoundationModel",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:InvokeModel", 
                 "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*"
            ]
        },
        {
            "Sid": "ApplyGuardrail",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:guardrail/guardrail-id"
            ]
        }
    ]   
}

(선택 사항) 가드레일용 고객 관리 키 생성

CreateKey권한이 있는 모든 사용자는 AWS Key Management Service (AWS KMS) 콘솔 또는 작업을 사용하여 고객 관리 키를 생성할 수 있습니다. CreateKey 대칭 암호화 키를 생성해야 합니다. 키를 생성한 후 다음 권한을 설정합니다.

  1. 키 정책 생성의 단계에 따라 KMS 키에 대한 리소스 기반 정책을 생성하십시오. 다음 정책 설명을 추가하여 가드레일 사용자와 가드레일 생성자에게 권한을 부여하십시오. 각 역할을 지정된 작업을 수행하도록 허용하려는 역할로 바꾸십시오.

    {
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUusers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }        
}

  2. 다음 ID 기반 정책을 역할에 연결하여 가드레일을 생성하고 관리할 수 있도록 하십시오. 키-ID를 생성한 KMS 키의 ID로 바꾸십시오.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "Allow role to create and manage guardrails",
         "Effect": "Allow",
         "Action": [
            "kms:Decrypt", 
            "kms:DescribeKey", 
            "kms:GenerateDataKey" 
            "kms:CreateGrant"  
         ],
         "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

  3. 다음 ID 기반 정책을 역할에 연결하여 모델 추론 중에 또는 에이전트를 호출하는 동안 암호화한 가드레일을 해당 역할에서 사용할 수 있도록 하십시오. 키-ID를 생성한 KMS 키의 ID로 바꾸십시오.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow role to use an encrypted guardrail during model inference"
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}