AIF-C01#41(foundation-models)
ある企業が、アプリケーションを構築するために Amazon Bedrock へのアクセスを申し込みました。この企業は、従業員が Amazon Bedrock で利用可能な特定のモデルのみにアクセスできるように制限したいと考えています。 この要件を満たすソリューションはどれですか?
正解:A
正解の根拠
Amazon Bedrock のモデルアクセスは IAM ポリシーで細かく制御できます。bedrock:InvokeModel などのアクションに対し Resource として特定のモデル ARN (例: anthropic.claude-3-sonnet 等) を指定することで、従業員が呼び出せる FM を限定できます。組織レベルでは SCP との組合せも有効ですが、最小権限の標準的な実装手段は IAM ポリシーであり、本要件に合致します。
関連サービスの役割
| サービス | 役割 |
|---|---|
| IAM ポリシー | Bedrock モデル ARN 単位のアクセス制御 |
| AWS STS | 一時認証情報の発行 |
| IAM サービスロール | サービスへの権限委譲 |
| Amazon Inspector | EC2/コンテナ脆弱性スキャン |
不正解の理由
- B: STS は一時クレデンシャルを発行する仕組みで、どのモデルを使えるかというアクセス制御自体は IAM ポリシーで定義する必要があります。
- C: サービスロールはサービス間の権限委譲用で、Bedrock のモデル契約を制限する仕組みではなく、要件に直接対応しません。
- D: Inspector は EC2 やコンテナの脆弱性評価サービスであり、Bedrock のモデル利用権限を制御する機能は提供しません。
参考:Bedrock IAM
コメント