Criar um perfil de serviço para o Amazon Bedrock Studio - Amazon Bedrock

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar um perfil de serviço para o Amazon Bedrock Studio

O Amazon Bedrock Studio está em uma versão prévia do Amazon Bedrock e está sujeito a alterações.

Para gerenciar os espaços de trabalho do Amazon Bedrock Studio, é necessário criar um perfil de serviço que permita que o Amazon DataZone gerencie os espaços de trabalho.

Para usar um perfil de serviço personalizado para o Amazon Bedrock Studio, crie um perfil do IAM e anexe as permissões abaixo seguindo as etapas em Criar um perfil para delegar permissões a um serviço da AWS.

Relação de confiança

A política a seguir permite que o Amazon Bedrock assuma esse perfil e gerencie um espaço de trabalho do Amazon Bedrock Studio com o Amazon DataZone. Veja um exemplo de política que é possível usar.

  • Defina o valor aws:SourceAccount para o ID da conta da AWS.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datazone.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "ForAllValues:StringLike": { "aws:TagKeys": "datazone*" } } } ] }

Permissões para gerenciar um espaço de trabalho do Amazon Bedrock Studio

Política padrão para o perfil de serviço do Amazon Bedrock Studio. O Amazon Bedrock usa essa função para criar, executar e compartilhar recursos no Bedrock Studio com o Amazon DataZone.

Essa política consiste nos conjuntos de permissões a seguir.

  • datazone: concede acesso aos recursos do Amazon DataZone que são gerenciados pelo Amazon Bedrock Studio.

  • ram: Permite a recuperação de associações de compartilhamento de recursos que você possui.

  • bedrock: concede a capacidade de invocar os modelos de base do Amazon Bedrock.

  • kms: concede acesso ao uso do AWS KMS para criptografar dados do Amazon Bedrock Studio com uma chave gerenciada pelo cliente.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetDataZoneDomain", "Effect": "Allow", "Action": "datazone:GetDomain", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonBedrockManaged": "true" } } }, { "Sid": "ManageDataZoneResources", "Effect": "Allow", "Action": [ "datazone:ListProjects", "datazone:GetProject", "datazone:CreateProject", "datazone:UpdateProject", "datazone:DeleteProject", "datazone:ListProjectMemberships", "datazone:CreateProjectMembership", "datazone:DeleteProjectMembership", "datazone:ListEnvironments", "datazone:GetEnvironment", "datazone:CreateEnvironment", "datazone:UpdateEnvironment", "datazone:DeleteEnvironment", "datazone:ListEnvironmentBlueprints", "datazone:GetEnvironmentBlueprint", "datazone:ListEnvironmentBlueprintConfigurations", "datazone:GetEnvironmentBlueprintConfiguration", "datazone:ListEnvironmentProfiles", "datazone:GetEnvironmentProfile", "datazone:CreateEnvironmentProfile", "datazone:UpdateEnvironmentProfile", "datazone:DeleteEnvironmentProfile", "datazone:GetEnvironmentCredentials", "datazone:ListGroupsForUser", "datazone:SearchUserProfiles", "datazone:SearchGroupProfiles", "datazone:GetUserProfile", "datazone:GetGroupProfile" ], "Resource": "*" }, { "Sid": "GetResourceShareAssociations", "Effect": "Allow", "Action": "ram:GetResourceShareAssociations", "Resource": "*" }, { "Sid": "InvokeBedrockModels", "Effect": "Allow", "Action": [ "bedrock:GetFoundationModelAvailability", "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "UseCustomerManagedKmsKey", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/EnableBedrock": "true" } } } ] }