As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
O Amazon Bedrock Studio está em uma versão prévia do Amazon Bedrock e está sujeito a alterações. |
Para gerenciar seus espaços de trabalho do Amazon Bedrock Studio, você precisa criar uma função de serviço que permita que a Amazon DataZone gerencie seus espaços de trabalho.
Para usar uma função de serviço para o Amazon Bedrock Studio, crie uma função do IAM e anexe as seguintes permissões seguindo as etapas em Criar uma função para delegar permissões a um AWS serviço.
Relação de confiança
A política a seguir permite que o Amazon Bedrock assuma essa função e gerencie um espaço de trabalho do Amazon Bedrock Studio com a Amazon. DataZone Veja um exemplo de política que é possível usar.
-
Defina o
aws:SourceAccount
valor para o ID AWS da sua conta.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account ID
"
},
"ForAllValues:StringLike": {
"aws:TagKeys": "datazone*"
}
}
}
]
}
Permissões para gerenciar um espaço de trabalho do Amazon Bedrock Studio
Política padrão para o perfil de serviço do Amazon Bedrock Studio. O Amazon Bedrock usa essa função para criar, executar e compartilhar recursos no Bedrock Studio com a Amazon. DataZone
Essa política consiste nos conjuntos de permissões a seguir.
datazone — Concede acesso aos DataZone recursos da Amazon que são gerenciados pelo Amazon Bedrock Studio.
ram: Permite a recuperação de associações de compartilhamento de recursos que você possui.
bedrock: concede a capacidade de invocar os modelos de base do Amazon Bedrock.
kms — Concede acesso AWS KMS para uso na criptografia de dados do Amazon Bedrock Studio com uma chave gerenciada pelo cliente.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GetDataZoneDomain",
"Effect": "Allow",
"Action": "datazone:GetDomain",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonBedrockManaged": "true"
}
}
},
{
"Sid": "ManageDataZoneResources",
"Effect": "Allow",
"Action": [
"datazone:ListProjects",
"datazone:GetProject",
"datazone:CreateProject",
"datazone:UpdateProject",
"datazone:DeleteProject",
"datazone:ListProjectMemberships",
"datazone:CreateProjectMembership",
"datazone:DeleteProjectMembership",
"datazone:ListEnvironments",
"datazone:GetEnvironment",
"datazone:CreateEnvironment",
"datazone:UpdateEnvironment",
"datazone:DeleteEnvironment",
"datazone:ListEnvironmentBlueprints",
"datazone:GetEnvironmentBlueprint",
"datazone:ListEnvironmentBlueprintConfigurations",
"datazone:GetEnvironmentBlueprintConfiguration",
"datazone:ListEnvironmentProfiles",
"datazone:GetEnvironmentProfile",
"datazone:CreateEnvironmentProfile",
"datazone:UpdateEnvironmentProfile",
"datazone:DeleteEnvironmentProfile",
"datazone:GetEnvironmentCredentials",
"datazone:ListGroupsForUser",
"datazone:SearchUserProfiles",
"datazone:SearchGroupProfiles",
"datazone:GetUserProfile",
"datazone:GetGroupProfile"
],
"Resource": "*"
},
{
"Sid": "GetResourceShareAssociations",
"Effect": "Allow",
"Action": "ram:GetResourceShareAssociations",
"Resource": "*"
},
{
"Sid": "InvokeBedrockModels",
"Effect": "Allow",
"Action": [
"bedrock:GetFoundationModelAvailability",
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": "*"
},
{
"Sid": "UseCustomerManagedKmsKey",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/EnableBedrock": "true"
}
}
}
]
}