Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen Sie eine Servicerolle für Amazon Bedrock Studio
Amazon Bedrock Studio befindet sich in der Vorschauversion für Amazon Bedrock und kann sich ändern. |
Um Ihre Amazon Bedrock Studio-Arbeitsbereiche zu verwalten, müssen Sie eine Servicerolle erstellen, mit der Amazon Ihre Workspaces DataZone verwalten kann.
Um eine Servicerolle für Amazon Bedrock Studio zu verwenden, erstellen Sie eine IAM Rolle und fügen Sie die folgenden Berechtigungen hinzu, indem Sie die Schritte unter Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Service ausführen.
Vertrauensstellung
Die folgende Richtlinie ermöglicht es Amazon Bedrock, diese Rolle zu übernehmen und einen Amazon Bedrock Studio-Arbeitsbereich mit Amazon zu verwalten. DataZone Das folgende Beispiel zeigt eine Richtinie, die Sie verwenden können.
-
Stellen Sie den
aws:SourceAccountWert auf Ihre AWS Konto-ID ein.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datazone.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "ForAllValues:StringLike": { "aws:TagKeys": "datazone*" } } } ] }
Berechtigungen zur Verwaltung eines Amazon Bedrock Studio-Arbeitsbereichs
Standardrichtlinie für die Amazon Bedrock Studio-Servicerolle. Amazon Bedrock verwendet diese Rolle, um Ressourcen in Bedrock Studio zu erstellen, auszuführen und gemeinsam mit Amazon zu nutzen. DataZone
Diese Richtlinie besteht aus den folgenden Berechtigungssätzen.
Datazone — Gewährt Zugriff auf DataZone Amazon-Ressourcen, die von Amazon Bedrock Studio verwaltet werden.
ram — Ermöglicht das Abrufen von Ressourcenfreigabezuordnungen, deren Eigentümer Sie sind.
bedrock — Ermöglicht das Aufrufen von Amazon Bedrock Foundation-Modellen.
kms — Gewährt Zugriff AWS KMS zur Verschlüsselung von Amazon Bedrock Studio-Daten mit einem vom Kunden verwalteten Schlüssel.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetDataZoneDomain", "Effect": "Allow", "Action": "datazone:GetDomain", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonBedrockManaged": "true" } } }, { "Sid": "ManageDataZoneResources", "Effect": "Allow", "Action": [ "datazone:ListProjects", "datazone:GetProject", "datazone:CreateProject", "datazone:UpdateProject", "datazone:DeleteProject", "datazone:ListProjectMemberships", "datazone:CreateProjectMembership", "datazone:DeleteProjectMembership", "datazone:ListEnvironments", "datazone:GetEnvironment", "datazone:CreateEnvironment", "datazone:UpdateEnvironment", "datazone:DeleteEnvironment", "datazone:ListEnvironmentBlueprints", "datazone:GetEnvironmentBlueprint", "datazone:ListEnvironmentBlueprintConfigurations", "datazone:GetEnvironmentBlueprintConfiguration", "datazone:ListEnvironmentProfiles", "datazone:GetEnvironmentProfile", "datazone:CreateEnvironmentProfile", "datazone:UpdateEnvironmentProfile", "datazone:DeleteEnvironmentProfile", "datazone:GetEnvironmentCredentials", "datazone:ListGroupsForUser", "datazone:SearchUserProfiles", "datazone:SearchGroupProfiles", "datazone:GetUserProfile", "datazone:GetGroupProfile" ], "Resource": "*" }, { "Sid": "GetResourceShareAssociations", "Effect": "Allow", "Action": "ram:GetResourceShareAssociations", "Resource": "*" }, { "Sid": "InvokeBedrockModels", "Effect": "Allow", "Action": [ "bedrock:GetFoundationModelAvailability", "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "UseCustomerManagedKmsKey", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/EnableBedrock": "true" } } } ] }
