Canvas で Amazon Bedrock と生成 AI 機能を使用する権限をユーザーに付与する - Amazon SageMaker
ステップ 1: Amazon Bedrock モデルアクセスを追加するステップ 2: ユーザーの IAM ロールにアクセス権限を付与する

Canvas で Amazon Bedrock と生成 AI 機能を使用する権限をユーザーに付与する

Amazon SageMaker Canvas の生成 AI 機能は、人間のようなテキストを理解して生成できる大規模言語モデル (LLM) である Amazon Bedrock 基盤モデルを搭載しています。このページでは、SageMaker Canvas の以下の機能に必要なアクセス許可を付与する方法について説明します。

これらの機能を使用するには、使用する特定の Amazon Bedrock モデルへのアクセスを最初にリクエストする必要があります。次に、必要な AWS IAM アクセス許可と、Amazon Bedrock との信頼関係をユーザーの実行ロールに追加します。アクセス許可をロールに付与するには、次のいずれかの方法を選択します。

  • 新しい Amazon SageMaker ドメインまたはユーザープロファイルを作成し、Amazon Bedrock アクセス許可を有効にします。詳細については、「Amazon SageMaker Canvas の開始方法」を参照してください。

  • 既存の Amazon SageMaker ドメインまたはユーザープロファイルの設定を編集します。

  • ドメインまたはユーザーの IAM ロールにアクセス許可と信頼関係を手動で追加します。

ステップ 1: Amazon Bedrock モデルアクセスを追加する

Amazon Bedrock モデルへのアクセスはデフォルトでは付与されないため、Amazon Bedrock コンソールに移動して AWS アカウントのモデルへのアクセスをリクエストする必要があります。

特定の Amazon Bedrock モデルへのアクセスをリクエストする方法については、Amazon Bedrock ユーザーガイドの「Manage access to Amazon Bedrock foundation models」ページに記載されているモデルアクセスの追加手順に従ってください。

ステップ 2: ユーザーの IAM ロールにアクセス権限を付与する

Amazon SageMaker ドメインまたはユーザープロファイルを設定する場合、ユーザーが SageMaker Canvas から Amazon Bedrock モデルにアクセスできるように、ユーザーの IAM 実行ロールに AmazonSageMakerCanvasBedrockAccess ポリシーと、Amazon Bedrock との信頼関係がアタッチされている必要があります。

ドメイン設定を変更し、新しい実行ロール (SageMaker による必要なアクセス許可のアタッチ先) を作成するか、既存のロールを指定できます。

あるいは、IAM コンソールを使用して、既存の IAM ロールのアクセス許可を手動で変更できます。

これらのメソッドについては、後のセクションで説明します。

ドメインまたはユーザープロファイル設定を編集して、[Canvas の Ready-to-use モデルの設定] を有効にし、Amazon Bedrock ロールを指定できます。

ドメイン設定を編集し、ドメイン内の Canvas ユーザーに Amazon Bedrock モデルへのアクセスを許可するには、以下を実行します。

  1. https://console.aws.amazon.com/sagemaker/ で SageMaker コンソールを開きます。

  2. 左側のナビゲーションペインで [Domains] (ドメイン) を選択します。

  3. ドメインのリストで、ドメインを選択します。

  4. [アプリケーション設定] タブを選択します。

  5. [Canvas] セクションで、[編集] を選択します。

  6. [Canvas の設定を編集] ページが開きます。[Canvas の Ready-to-use モデルの設定] セクションでは、以下を実行します。

    1. [Canvas の Ready-to-use モデル オプションを有効にする] をオンにします。

    2. [Amazon Bedrock ロール] では、[新しい実行ロールの作成および使用] を選択し、AmazonSageMakerCanvasBedrockAccess ポリシーがアタッチされており、Amazon Bedrock との信頼関係を持つ新しい IAM 実行ロールを作成します。この IAM ロールは、Amazon Bedrock モデルにアクセスするとき、データ準備機能にチャットを使用するとき、または Canvas で Amazon Bedrock モデルをファインチューニングするときに、Amazon Bedrock によって引き受けられます。信頼関係を持つ実行ロールが既にある場合は、[既存の実行ロールを使用する] を選択し、ドロップダウンからロールを選択します。

  7. [送信] を選択して変更を保存します。

これで、Amazon Bedrock モデルにアクセスし、データ準備機能にチャットを使用して、Canvas で Amazon Bedrock モデルをファインチューニングするために必要なアクセス許可がユーザーに付与されました。

個々のユーザーの設定は、上記の同じ手順を使用して編集できます。ただし、ドメインページから個々のユーザーのプロファイルに移動することはできません。代わりにユーザー設定を編集してください。個々のユーザーに付与されたアクセス許可はドメイン内の他のユーザーには適用されませんが、ドメイン設定を通じて付与されたアクセス許可はドメイン内のすべてのユーザープロファイルに適用されます。

ドメイン設定の編集の詳細については、「View and Edit domains」を参照してください。

Canvas で Amazon Bedrock モデルにアクセスしてファインチューニングする権限をユーザーに手動で付与するには、ドメインまたはユーザーのプロファイルに指定されている IAM ロールに権限を追加します。IAM ロールには AmazonSageMakerCanvasBedrockAccess ポリシーがアタッチされている必要があり、Amazon Bedrock との信頼関係も必要です。

次のセクションでは、ポリシーを IAM ロールにアタッチし、Amazon Bedrock との信頼関係を作成する方法を示します。

まず、ドメインまたはユーザープロファイルの IAM ロールを書き留めます。個々のユーザーに付与された権限はドメイン内の他のユーザーには適用されず、ドメインを通じて付与された権限はドメイン内のすべてのユーザープロファイルに適用されることに注意してください。

Canvas で基盤モデルをファインチューニングするための IAM ロールを設定し、アクセス許可を付与するには、以下を実行します。

  1. IAM コンソール (https://console.aws.amazon.com/iam/) に移動します。

  2. 左のナビゲーションペインで、[ロール] を選択します。

  3. ロールのリストからユーザーの IAM ロールを名前で検索して選択します。

  4. 権限タブで、権限を追加するを選択します。ドロップダウンメニューで、[ポリシーをアタッチ] を選択します。

  5. AmazonSageMakerCanvasBedrockAccess ポリシーを検索して選択します。

  6. [許可を追加] を選択します。

  7. IAM ロールのページに戻り、[信頼関係] タブを選択します。

  8. [信頼ポリシーを編集] を選択します。

  9. ポリシーエディタの右側のパネルで、[プリンシパルオプションを追加] を見つけ、 [追加] を選択します。

  10. ダイアログボックスの [プリンシパルタイプ] で、[AWS のサービス] を選択します。

  11. [ARN] には、「bedrock.amazonaws.com」と入力します。

  12. [プリンシパルを追加] を選択します。

  13. [ポリシーの更新] を選択します。

これで、AmazonSageMakerCanvasBedrockAccess ポリシーがアタッチされ、Amazon Bedrock との信頼関係を持つ IAM ロールが準備されました。AWS マネージドポリシーについては、「IAM ユーザーガイド」の「管理ポリシーとインラインポリシー」を参照してください。