Bedrock Foundation Model の IAM ポリシーではアカウント ID を空にする

AgentCore Runtime に Nova Sonic の権限を付与する際、サンプルの bedrock-iam-policy.json にある ACCOUNT_ID を自分のアカウント ID に置換した。しかし Foundation Model の ARN にはアカウント ID が含まれないため、この置換は誤りだ。

"Resource": "arn:aws:bedrock:us-west-2:123456789012:foundation-model/amazon.nova-2-sonic-v1:0"

"Resource": "arn:aws:bedrock:us-west-2::foundation-model/amazon.nova-2-sonic-v1:0"

:: の部分がポイントだ。aws bedrock get-foundation-model で確認すると、modelArn のアカウント ID 部分が空であることがわかる。

サンプルコードに ACCOUNT_ID プレースホルダーがあると sed で一括置換したくなるが、Bedrock の Foundation Model リソースだけは例外なので注意が必要だ。