As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Crie uma função de serviço para o Amazon Bedrock Studio
O Amazon Bedrock Studio está em versão prévia do Amazon Bedrock e está sujeito a alterações. |
Para gerenciar seus espaços de trabalho do Amazon Bedrock Studio, você precisa criar uma função de serviço que permita que a Amazon DataZone gerencie seus espaços de trabalho.
Para usar uma função de serviço para o Amazon Bedrock Studio, crie uma IAM função e anexe as seguintes permissões seguindo as etapas em Criar uma função para delegar permissões a um AWS serviço.
Relação de confiança
A política a seguir permite que o Amazon Bedrock assuma essa função e gerencie um espaço de trabalho do Amazon Bedrock Studio com a Amazon. DataZone A seguir é mostrada uma política de exemplo que você pode usar.
-
Defina o
aws:SourceAccountvalor para o ID AWS da sua conta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datazone.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "ForAllValues:StringLike": { "aws:TagKeys": "datazone*" } } } ] }
Permissões para gerenciar um espaço de trabalho do Amazon Bedrock Studio
Política padrão para a função de serviço principal do Amazon Bedrock Studio. O Amazon Bedrock usa essa função para criar, executar e compartilhar recursos no Bedrock Studio com a Amazon. DataZone
Essa política consiste nos seguintes conjuntos de permissões.
datazone — Concede acesso aos DataZone recursos da Amazon que são gerenciados pelo Amazon Bedrock Studio.
ram — Permite a recuperação de associações de compartilhamento de recursos que você possui.
bedrock — Concede a capacidade de invocar os modelos da fundação Amazon Bedrock.
kms — Concede acesso AWS KMS para uso na criptografia de dados do Amazon Bedrock Studio com uma chave gerenciada pelo cliente.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetDataZoneDomain", "Effect": "Allow", "Action": "datazone:GetDomain", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonBedrockManaged": "true" } } }, { "Sid": "ManageDataZoneResources", "Effect": "Allow", "Action": [ "datazone:ListProjects", "datazone:GetProject", "datazone:CreateProject", "datazone:UpdateProject", "datazone:DeleteProject", "datazone:ListProjectMemberships", "datazone:CreateProjectMembership", "datazone:DeleteProjectMembership", "datazone:ListEnvironments", "datazone:GetEnvironment", "datazone:CreateEnvironment", "datazone:UpdateEnvironment", "datazone:DeleteEnvironment", "datazone:ListEnvironmentBlueprints", "datazone:GetEnvironmentBlueprint", "datazone:ListEnvironmentBlueprintConfigurations", "datazone:GetEnvironmentBlueprintConfiguration", "datazone:ListEnvironmentProfiles", "datazone:GetEnvironmentProfile", "datazone:CreateEnvironmentProfile", "datazone:UpdateEnvironmentProfile", "datazone:DeleteEnvironmentProfile", "datazone:GetEnvironmentCredentials", "datazone:ListGroupsForUser", "datazone:SearchUserProfiles", "datazone:SearchGroupProfiles", "datazone:GetUserProfile", "datazone:GetGroupProfile" ], "Resource": "*" }, { "Sid": "GetResourceShareAssociations", "Effect": "Allow", "Action": "ram:GetResourceShareAssociations", "Resource": "*" }, { "Sid": "InvokeBedrockModels", "Effect": "Allow", "Action": [ "bedrock:GetFoundationModelAvailability", "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "UseCustomerManagedKmsKey", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/EnableBedrock": "true" } } } ] }
