Canvas で Amazon Bedrock と生成 AI 機能を使用するアクセス許可をユーザーに付与する - Amazon SageMaker
ステップ 1: Amazon Bedrock モデルアクセスを追加するステップ 2: ユーザーのIAMロールにアクセス許可を付与する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Canvas で Amazon Bedrock と生成 AI 機能を使用するアクセス許可をユーザーに付与する

Amazon Canvas の生成 AI SageMaker 機能は、人間のようなテキストを理解して生成できる大規模言語モデル (LLMs) である Amazon Bedrock 基盤モデルを利用しています。このページでは、Canvas SageMaker の以下の機能に必要なアクセス許可を付与する方法について説明します。

これらの機能を使用するには、まず使用する特定の Amazon Bedrock モデルへのアクセスをリクエストする必要があります。次に、必要な AWS IAMアクセス許可と Amazon Bedrock との信頼関係をユーザーの実行ロールに追加します。ロールにアクセス許可を付与するには、次のいずれかの方法を選択できます。

  • 新しい Amazon SageMaker ドメインまたはユーザープロファイルを作成し、Amazon Bedrock アクセス許可を有効にします。詳細については、「Amazon Canvas SageMaker の使用を開始する」を参照してください。

  • 既存の Amazon SageMaker ドメインまたはユーザープロファイルの設定を編集します。

  • ドメインの またはユーザーのIAMロールにアクセス許可と信頼関係を手動で追加します。

ステップ 1: Amazon Bedrock モデルアクセスを追加する

Amazon Bedrock モデルへのアクセスはデフォルトでは許可されないため、Amazon Bedrock コンソールにアクセスして AWS アカウントのモデルへのアクセスをリクエストする必要があります。

特定の Amazon Bedrock モデルへのアクセスをリクエストする方法については、「Amazon Bedrock ユーザーガイド」の「Amazon Bedrock 基盤モデルへのアクセスを管理する」ページの「モデルアクセスを追加する」の手順に従います。

ステップ 2: ユーザーのIAMロールにアクセス許可を付与する

Amazon SageMaker ドメインまたはユーザープロファイルを設定する場合、ユーザーが Canvas から Amazon Bedrock モデルにアクセスできるように、ユーザーIAMの実行ロールに AmazonSageMakerCanvasBedrockAccessポリシーと Amazon Bedrock SageMaker との信頼関係がアタッチされている必要があります。

ドメイン設定を変更し、新しい実行ロール (必要なアクセス許可をアタッチする SageMakerロール) を作成するか、既存のロールを指定できます。

または、IAMコンソールを使用して既存のIAMロールのアクセス許可を手動で変更できます。

これらのメソッドについては、後のセクションで説明します。

ドメインまたはユーザープロファイルの設定を編集して Canvas R eady-to-use モデルの設定を有効にし、Amazon Bedrock ロールを指定できます。

ドメイン設定を編集し、ドメイン内の Canvas ユーザーに Amazon Bedrock モデルへのアクセスを許可するには、次の手順を実行します。

  1. の SageMaker コンソールに移動しますhttps://console.aws.amazon.com/sagemaker/

  2. 左側のナビゲーションペインで [Domains] (ドメイン) を選択します。

  3. ドメインのリストからドメインを選択します。

  4. アプリ設定 タブを選択します。

  5. Canvas セクションで、編集 を選択します。

  6. Canvas 設定の編集ページが開きます。Canvas R eady-to-use モデル設定セクションで、次の操作を行います。

    1. Canvas R eady-to-use モデルを有効にするオプション をオンにします。

    2. Amazon Bedrock ロール では、新しい実行ロールを作成して使用 を選択し、 AmazonSageMakerCanvasBedrockAccessポリシーがアタッチされた新しいIAM実行ロールと Amazon Bedrock との信頼関係を作成します。このIAMロールは、Amazon Bedrock モデルにアクセスするとき、データ準備機能にチャットを使用するとき、または Canvas で Amazon Bedrock モデルを微調整するときに、Amazon Bedrock が引き受けます。信頼関係を持つ実行ロールが既にある場合は、既存の実行ロールを使用する を選択し、ドロップダウンからロールを選択します。

  7. 送信 を選択して変更を保存します。

これで、Amazon Bedrock モデルへのアクセス、データ準備機能のチャットの使用、Canvas での Amazon Bedrock モデルの微調整に必要なアクセス許可がユーザーに付与されるようになりました。

ドメインページから個々のユーザーのプロファイルに移動し、代わりにユーザー設定を編集することを除いて、上記の同じ手順を使用して個々のユーザー設定を編集できます。個々のユーザーに付与されたアクセス許可はドメイン内の他のユーザーには適用されませんが、ドメイン設定を通じて付与されたアクセス許可はドメイン内のすべてのユーザープロファイルに適用されます。

ドメイン設定の編集の詳細については、「ドメインの表示と編集」を参照してください。

ドメインまたはユーザーのプロファイルに指定されたIAMロールにアクセス許可を追加することで、Canvas で Amazon Bedrock モデルにアクセスして微調整するアクセス許可をユーザーに手動で付与できます。IAM ロールには、 AmazonSageMakerCanvasBedrockAccessポリシーがアタッチされ、Amazon Bedrock との信頼関係が必要です。

次のセクションでは、ポリシーをIAMロールにアタッチし、Amazon Bedrock との信頼関係を作成する方法を示します。

まず、ドメインまたはユーザープロファイルのIAMロールを書き留めます。個々のユーザーに付与されたアクセス許可はドメイン内の他のユーザーには適用されず、ドメインを通じて付与されたアクセス許可はドメイン内のすべてのユーザープロファイルに適用されることに注意してください。

Canvas で基盤モデルを微調整するためのIAMロールを設定し、アクセス許可を付与するには、次の手順を実行します。

  1. のIAMコンソールに移動しますhttps://console.aws.amazon.com/iam/

  2. 左のナビゲーションペインで、[ロール] を選択します。

  3. IAM ロールのリストから名前でユーザーのロールを検索し、選択します。

  4. 権限タブで、権限を追加するを選択します。ドロップダウンメニューで、[ポリシーをアタッチ] を選択します。

  5. AmazonSageMakerCanvasBedrockAccess ポリシーを検索して選択します。

  6. アクセス許可の追加 を選択します

  7. IAM ロールのページに戻り、信頼関係タブを選択します。

  8. [信頼ポリシーを編集] を選択します。

  9. ポリシーエディタで、右側のパネルで「プリンシパルを追加」オプションを見つけ、「 を追加」を選択します。

  10. ダイアログボックスのプリンシパルタイプ で、AWS サービス を選択します。

  11. にはARN、 と入力しますbedrock.amazonaws.com

  12. [プリンシパルを追加] を選択します。

  13. [ポリシーの更新] を選択します。

これで、 AmazonSageMakerCanvasBedrockAccessポリシーがアタッチされた IAMロールと、Amazon Bedrock との信頼関係ができました。 AWS 管理ポリシーの詳細については、「 ユーザーガイド」の「 管理ポリシーとインラインポリシーIAM」を参照してください。