기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 지식 기반 평가 작업의 서비스 역할 요구 사항 지식 기반 평가 작업을 생성하려면 서비스 역할을 지정해야 합니다. 역할에 연결하는 정책은 Amazon Bedrock에 계정의 리소스에 대한 액세스 권한을 부여하고 Amazon Bedrock이 다음을 수행하도록 허용합니다. + `RetrieveAndGenerate` API 작업을 사용하여 출력 생성을 위해 선택한 모델을 간접 호출하고 지식 기반 출력을 평가합니다. + 지식 기반 인스턴스에서 Amazon Bedrock 지식 기반 `Retrieve` 및 `RetrieveAndGenerate` API 작업을 간접 호출합니다. 사용자 지정 서비스 역할을 만들려면 *IAM 사용자 설명서*의 [사용자 지정 신뢰 정책을 사용하는 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)을 참조하세요. **Amazon S3 액세스에 필요한 IAM 작업** 다음 예제 정책은 다음 두 가지가 모두 발생하는 S3 버킷에 대한 액세스 권한을 부여합니다. + 지식 기반 평가 결과를 저장합니다. + Amazon Bedrock은 입력 데이터세트를 읽습니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowAccessToCustomDatasets", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::my_customdataset1_bucket", "arn:aws:s3:::my_customdataset1_bucket/myfolder", "arn:aws:s3:::my_customdataset2_bucket", "arn:aws:s3:::my_customdataset2_bucket/myfolder" ] }, { "Sid": "AllowAccessToOutputBucket", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket", "s3:PutObject", "s3:GetBucketLocation", "s3:AbortMultipartUpload", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::my_output_bucket", "arn:aws:s3:::my_output_bucket/myfolder" ] } ] } ``` ------ **필수 Amazon Bedrock IAM 작업** 또한 Amazon Bedrock이 다음을 수행하도록 허용하는 정책을 생성해야 합니다. 1. 다음에 대해 지정하려는 모델을 간접 호출합니다. + `RetrieveAndGenerate` API 작업을 사용한 결과 생성. + 평가 결과. 정책의 `Resource` 키에서 사용자에게 액세스 권한이 있는 모델의 ARN을 하나 이상 지정해야 합니다. 고객 관리형 KMS 키로 암호화된 모델을 사용하려면 IAM 서비스 역할 정책에 필요한 IAM 작업 및 리소스를 추가해야 합니다. 또한 AWS KMS 키 정책에 서비스 역할을 추가해야 합니다. 1. `Retrieve` 및 `RetrieveAndGenerate` API 작업을 직접 호출합니다. 콘솔의 자동 역할 생성에서는 해당 작업에 대해 평가하도록 선택한 작업에 관계없이 `Retrieve` 및 `RetrieveAndGenerate` API 작업 모두에 권한을 부여합니다. 이렇게 하면 해당 역할에 대한 유연성과 재사용 가능성을 높일 수 있습니다. 그러나 보안을 강화하기 위해 자동으로 생성된 역할은 단일 지식 기반 인스턴스에 연결됩니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowSpecificModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream", "bedrock:CreateModelInvocationJob", "bedrock:StopModelInvocationJob", "bedrock:GetProvisionedModelThroughput", "bedrock:GetInferenceProfile", "bedrock:GetImportedModel" ], "Resource": [ "arn:aws:bedrock:us-east-1::foundation-model/*", "arn:aws:bedrock:us-east-1:123456789012:inference-profile/*", "arn:aws:bedrock:us-east-1:123456789012:provisioned-model/*", "arn:aws:bedrock:us-east-1:123456789012:imported-model/*", "arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/*" ] }, { "Sid": "AllowKnowledgeBaseAPis", "Effect": "Allow", "Action": [ "bedrock:Retrieve", "bedrock:RetrieveAndGenerate" ], "Resource": [ "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id" ] } ] } ``` ------ **서비스 보안 주체 요구 사항** Amazon Bedrock을 서비스 위탁자로 정의하는 신뢰 정책도 지정해야 합니다. 이 정책을 통해 Amazon Bedrock이 역할을 수임할 수 있습니다. Amazon Bedrock이 AWS 계정에서 모델 평가 작업을 생성하려면 와일드카드(`*`) 모델 평가 작업 ARN이 필요합니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowBedrockToAssumeRole", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*" } } } ] } ``` ------