Autoriser les utilisateurs à utiliser Amazon Bedrock et les fonctionnalités d'IA générative dans Canvas - Amazon SageMaker
Étape 1 : Ajouter l'accès au modèle Amazon BedrockÉtape 2 : accorder des autorisations pour le IAM rôle de l'utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autoriser les utilisateurs à utiliser Amazon Bedrock et les fonctionnalités d'IA générative dans Canvas

Les fonctionnalités d'intelligence artificielle génératives d'Amazon SageMaker Canvas sont basées sur les modèles Amazon Bedrock Foundation, qui sont de grands modèles linguistiques (LLMs) capables de comprendre et de générer du texte semblable à celui d'un humain. Cette page explique comment accorder les autorisations nécessaires pour les fonctionnalités suivantes dans SageMaker Canvas :

Pour utiliser ces fonctionnalités, vous devez d'abord demander l'accès au modèle Amazon Bedrock spécifique que vous souhaitez utiliser. Ajoutez ensuite les AWS IAM autorisations nécessaires et une relation de confiance avec Amazon Bedrock au rôle d'exécution de l'utilisateur. Pour accorder les autorisations au rôle, vous pouvez choisir l'une des méthodes suivantes :

  • Créez un nouveau SageMaker domaine ou profil utilisateur Amazon et activez les autorisations Amazon Bedrock. Pour de plus amples informations, veuillez consulter Commencer à utiliser Amazon SageMaker Canvas.

  • Modifiez les paramètres d'un SageMaker domaine ou d'un profil utilisateur Amazon existant.

  • Ajoutez manuellement des autorisations et une relation de confiance au IAM rôle d'un domaine ou d'un utilisateur.

Étape 1 : Ajouter l'accès au modèle Amazon Bedrock

L'accès aux modèles Amazon Bedrock n'est pas accordé par défaut. Vous devez donc accéder à la console Amazon Bedrock pour demander l'accès aux modèles pour votre AWS compte.

Pour savoir comment demander l'accès à un modèle Amazon Bedrock spécifique, suivez la procédure d'ajout d'un accès au modèle sur la page Gérer l'accès aux modèles de fondation Amazon Bedrock dans le guide de l'utilisateur d'Amazon Bedrock.

Étape 2 : accorder des autorisations pour le IAM rôle de l'utilisateur

Lorsque vous configurez votre SageMaker domaine Amazon ou votre profil utilisateur, le rôle d'IAMexécution de l'utilisateur doit être associé à la AmazonSageMakerCanvasBedrockAccesspolitique, ainsi qu'une relation de confiance avec Amazon Bedrock, afin que votre utilisateur puisse accéder aux modèles Amazon Bedrock depuis SageMaker Canvas.

Vous pouvez modifier les paramètres du domaine et créer un nouveau rôle d'exécution (auquel sont SageMaker associées les autorisations requises pour vous) ou spécifier un rôle existant.

Vous pouvez également modifier manuellement les autorisations pour un IAM rôle existant via la IAM console.

Les deux méthodes sont décrites dans les sections suivantes.

Vous pouvez modifier les paramètres de votre domaine ou de votre profil utilisateur pour activer le paramètre de configuration eady-to-use des modèles Canvas R et spécifier un rôle Amazon Bedrock.

Pour modifier les paramètres de votre domaine et accorder l'accès aux modèles Amazon Bedrock aux utilisateurs de Canvas du domaine, procédez comme suit :

  1. Accédez à la SageMaker console à l'adresse https://console.aws.amazon.com/sagemaker/.

  2. Dans le volet de navigation de gauche, choisissez Domains (Domaines).

  3. Dans la liste des domaines, choisissez votre domaine.

  4. Choisissez l'onglet Configurations de l'application.

  5. Dans la section Canvas, choisissez Modifier.

  6. La page Modifier les paramètres du canevas s'ouvre. Pour la section de configuration eady-to-use des modèles Canvas R, procédez comme suit :

    1. Activez l'option Activer les eady-to-use modèles Canvas R.

    2. Pour le rôle Amazon Bedrock, sélectionnez Créer et utilisez un nouveau rôle d'exécution pour créer un nouveau rôle IAM d'exécution associé à la AmazonSageMakerCanvasBedrockAccesspolitique et établissant une relation de confiance avec Amazon Bedrock. Ce IAM rôle est assumé par Amazon Bedrock lorsque vous accédez aux modèles Amazon Bedrock, que vous utilisez le chat pour la fonction de préparation des données ou que vous affinez les modèles Amazon Bedrock dans Canvas. Si vous avez déjà un rôle d'exécution avec une relation de confiance, sélectionnez Utiliser un rôle d'exécution existant et choisissez votre rôle dans le menu déroulant.

  7. Choisissez Soumettre pour enregistrer vos modifications.

Vos utilisateurs doivent désormais disposer des autorisations nécessaires pour accéder aux modèles Amazon Bedrock, utiliser le chat pour la fonction de préparation des données et peaufiner les modèles Amazon Bedrock dans Canvas.

Vous pouvez utiliser la même procédure ci-dessus pour modifier les paramètres d'un utilisateur individuel, sauf en accédant au profil de l'utilisateur individuel depuis la page du domaine et en modifiant les paramètres utilisateur à la place. Les autorisations accordées à un utilisateur individuel ne s'appliquent pas aux autres utilisateurs du domaine, tandis que les autorisations accordées via les paramètres du domaine s'appliquent à tous les profils utilisateur du domaine.

Pour plus d'informations sur la modification des paramètres de votre domaine, voir Afficher et modifier les domaines.

Vous pouvez accorder manuellement aux utilisateurs les autorisations nécessaires pour accéder aux modèles Amazon Bedrock et les affiner dans Canvas en ajoutant des autorisations au IAM rôle spécifié pour le domaine ou le profil de l'utilisateur. Le IAM rôle doit être associé à la AmazonSageMakerCanvasBedrockAccesspolitique et établir une relation de confiance avec Amazon Bedrock.

La section suivante explique comment associer la politique à votre IAM rôle et créer une relation de confiance avec Amazon Bedrock.

Tout d'abord, prenez note du IAM rôle de votre domaine ou de votre profil utilisateur. Notez que les autorisations accordées à un utilisateur individuel ne s'appliquent pas aux autres utilisateurs du domaine, tandis que les autorisations accordées via le domaine s'appliquent à tous les profils utilisateur du domaine.

Pour configurer le IAM rôle et accorder les autorisations nécessaires pour affiner les modèles de base dans Canvas, procédez comme suit :

  1. Accédez à la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, choisissez Rôles.

  3. Recherchez le IAM rôle de l'utilisateur par son nom dans la liste des rôles et sélectionnez-le.

  4. Sous l'onglet Autorisations, sélectionnez Ajouter des autorisations. Choisissez Attacher des politiques dans le menu déroulant.

  5. Recherchez la AmazonSageMakerCanvasBedrockAccess politique et sélectionnez-la.

  6. Choisissez Ajouter des autorisations.

  7. De retour sur la page du IAM rôle, choisissez l'onglet Relations de confiance.

  8. Choisissez Edit trust policy (Modifier la politique d’approbation).

  9. Dans l'éditeur de politiques, recherchez l'option Ajouter un principal dans le panneau de droite et choisissez Ajouter.

  10. Dans la boîte de dialogue, pour Type principal, sélectionnez AWS services.

  11. Pour ARN, entrezbedrock.amazonaws.com.

  12. Choisissez Ajouter un principal.

  13. Choisissez Mettre à jour une politique.

Vous devriez désormais avoir un IAM rôle associé à cette AmazonSageMakerCanvasBedrockAccesspolitique et entretenir une relation de confiance avec Amazon Bedrock. Pour plus d'informations sur les politiques AWS gérées, voir Politiques gérées et politiques intégrées dans le Guide de l'IAMutilisateur.