Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat peran layanan untuk Amazon Bedrock Studio
Amazon Bedrock Studio sedang dalam rilis pratinjau untuk Amazon Bedrock dan dapat berubah sewaktu-waktu. |
Untuk mengelola ruang kerja Amazon Bedrock Studio, Anda perlu membuat peran layanan yang memungkinkan Amazon DataZone mengelola ruang kerja Anda.
Untuk menggunakan peran layanan untuk Amazon Bedrock Studio, buat IAM peran dan lampirkan izin berikut dengan mengikuti langkah-langkah di Membuat peran untuk mendelegasikan izin ke layanan. AWS
Hubungan kepercayaan
Kebijakan berikut memungkinkan Amazon Bedrock untuk mengambil peran ini dan mengelola ruang kerja Amazon Bedrock Studio dengan Amazon. DataZone Berikut ini menunjukkan contoh kebijakan yang dapat Anda gunakan.
-
Tetapkan
aws:SourceAccountnilainya ke ID AWS akun Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datazone.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "ForAllValues:StringLike": { "aws:TagKeys": "datazone*" } } } ] }
Izin untuk mengelola ruang kerja Amazon Bedrock Studio
Kebijakan default untuk peran layanan Amazon Bedrock Studio utama. Amazon Bedrock menggunakan peran ini untuk membangun, menjalankan, dan berbagi sumber daya di Bedrock Studio dengan Amazon. DataZone
Kebijakan ini terdiri dari kumpulan izin berikut.
datazone — Memberikan akses ke DataZone sumber daya Amazon yang dikelola oleh Amazon Bedrock Studio.
ram — Memungkinkan pengambilan asosiasi berbagi sumber daya yang Anda miliki.
batuan dasar — Memberikan kemampuan untuk menggunakan model pondasi Amazon Bedrock.
kms — Memberikan akses untuk digunakan AWS KMS untuk mengenkripsi data Amazon Bedrock Studio dengan kunci yang dikelola pelanggan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetDataZoneDomain", "Effect": "Allow", "Action": "datazone:GetDomain", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonBedrockManaged": "true" } } }, { "Sid": "ManageDataZoneResources", "Effect": "Allow", "Action": [ "datazone:ListProjects", "datazone:GetProject", "datazone:CreateProject", "datazone:UpdateProject", "datazone:DeleteProject", "datazone:ListProjectMemberships", "datazone:CreateProjectMembership", "datazone:DeleteProjectMembership", "datazone:ListEnvironments", "datazone:GetEnvironment", "datazone:CreateEnvironment", "datazone:UpdateEnvironment", "datazone:DeleteEnvironment", "datazone:ListEnvironmentBlueprints", "datazone:GetEnvironmentBlueprint", "datazone:ListEnvironmentBlueprintConfigurations", "datazone:GetEnvironmentBlueprintConfiguration", "datazone:ListEnvironmentProfiles", "datazone:GetEnvironmentProfile", "datazone:CreateEnvironmentProfile", "datazone:UpdateEnvironmentProfile", "datazone:DeleteEnvironmentProfile", "datazone:GetEnvironmentCredentials", "datazone:ListGroupsForUser", "datazone:SearchUserProfiles", "datazone:SearchGroupProfiles", "datazone:GetUserProfile", "datazone:GetGroupProfile" ], "Resource": "*" }, { "Sid": "GetResourceShareAssociations", "Effect": "Allow", "Action": "ram:GetResourceShareAssociations", "Resource": "*" }, { "Sid": "InvokeBedrockModels", "Effect": "Allow", "Action": [ "bedrock:GetFoundationModelAvailability", "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "UseCustomerManagedKmsKey", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/EnableBedrock": "true" } } } ] }
