As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criar um perfil de serviço para o Amazon Bedrock Studio
O Amazon Bedrock Studio está em uma versão prévia do Amazon Bedrock e está sujeito a alterações. |
Para gerenciar os espaços de trabalho do Amazon Bedrock Studio, é necessário criar um perfil de serviço que permita que o Amazon DataZone gerencie os espaços de trabalho.
Para usar um perfil de serviço personalizado para o Amazon Bedrock Studio, crie um perfil do IAM e anexe as permissões abaixo seguindo as etapas em Criar um perfil para delegar permissões a um serviço da AWS.
Relação de confiança
A política a seguir permite que o Amazon Bedrock assuma esse perfil e gerencie um espaço de trabalho do Amazon Bedrock Studio com o Amazon DataZone. Veja um exemplo de política que é possível usar.
-
Defina o valor
aws:SourceAccount
para o ID da conta da AWS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datazone.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:SourceAccount": "
account ID
" }, "ForAllValues:StringLike": { "aws:TagKeys": "datazone*" } } } ] }
Permissões para gerenciar um espaço de trabalho do Amazon Bedrock Studio
Política padrão para o perfil de serviço do Amazon Bedrock Studio. O Amazon Bedrock usa essa função para criar, executar e compartilhar recursos no Bedrock Studio com o Amazon DataZone.
Essa política consiste nos conjuntos de permissões a seguir.
datazone: concede acesso aos recursos do Amazon DataZone que são gerenciados pelo Amazon Bedrock Studio.
ram: Permite a recuperação de associações de compartilhamento de recursos que você possui.
bedrock: concede a capacidade de invocar os modelos de base do Amazon Bedrock.
kms: concede acesso ao uso do AWS KMS para criptografar dados do Amazon Bedrock Studio com uma chave gerenciada pelo cliente.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetDataZoneDomain", "Effect": "Allow", "Action": "datazone:GetDomain", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonBedrockManaged": "true" } } }, { "Sid": "ManageDataZoneResources", "Effect": "Allow", "Action": [ "datazone:ListProjects", "datazone:GetProject", "datazone:CreateProject", "datazone:UpdateProject", "datazone:DeleteProject", "datazone:ListProjectMemberships", "datazone:CreateProjectMembership", "datazone:DeleteProjectMembership", "datazone:ListEnvironments", "datazone:GetEnvironment", "datazone:CreateEnvironment", "datazone:UpdateEnvironment", "datazone:DeleteEnvironment", "datazone:ListEnvironmentBlueprints", "datazone:GetEnvironmentBlueprint", "datazone:ListEnvironmentBlueprintConfigurations", "datazone:GetEnvironmentBlueprintConfiguration", "datazone:ListEnvironmentProfiles", "datazone:GetEnvironmentProfile", "datazone:CreateEnvironmentProfile", "datazone:UpdateEnvironmentProfile", "datazone:DeleteEnvironmentProfile", "datazone:GetEnvironmentCredentials", "datazone:ListGroupsForUser", "datazone:SearchUserProfiles", "datazone:SearchGroupProfiles", "datazone:GetUserProfile", "datazone:GetGroupProfile" ], "Resource": "*" }, { "Sid": "GetResourceShareAssociations", "Effect": "Allow", "Action": "ram:GetResourceShareAssociations", "Resource": "*" }, { "Sid": "InvokeBedrockModels", "Effect": "Allow", "Action": [ "bedrock:GetFoundationModelAvailability", "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "UseCustomerManagedKmsKey", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/EnableBedrock": "true" } } } ] }