本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建亚马逊 Bedrock Studio 工作空间
亚马逊 Bedrock Studio 处于亚马逊 Bedrock 的预览版,可能会发生变化。 |
工作空间是指您的用户(建造者和探索者)在 Amazon Bedrock Studio 中使用亚马逊 Bedrock 基础模型的地方。在创建工作区之前,必须使用 Ident AWS IAM ity Center 为用户配置单点登录 (SSO)。创建工作区时,需要指定详细信息,例如工作空间名称和您希望用户可以访问的默认基础模型。创建工作区后,您可以邀请用户成为该工作区的成员,并开始试验 Amazon Bedrock 模型。
主题
第 1 步:为 Amazon Bedrock Studio 设置 AWS IAM身份中心
要创建 Amazon Bedrock Studio 工作空间,你首先需要为亚马逊 Bedrock Studio 设置 AWS IAM身份中心。
注意
AWS 身份中心必须在与 Bedrock Studio 工作区相同的 AWS 区域中启用。目前, AWS 身份中心只能在单个 AWS 区域启用。
要启用 AWS IAM Identity Center,您必须使用您的 Organizations 管理账户 AWS 的凭据登录管理控制台。 AWS 使用 Organizations 成员账户的凭据登录时,你无法启用 Ident IAM AWS ity Center。有关更多信息,请参阅《Org anizations 用户指南》中的创建和管理 AWS 组织。
如果您已经在要创建 Bedrock Studio 工作 AWS 区的同一区域启用并配置了 Ident AWS IAM ity Center( AWS 单点登录的继任者),则可以跳过本节中的步骤。您必须使用AWS组织级别的实例配置 Identity Center。有关更多信息,请参阅管理 Ident IAM ity Center 的组织和账户实例。
完成以下步骤以启用 Ident AWS IAM ity Center( AWS 单点登录的继任者)。
-
打开 Ident AWS IAMity Center( AWS 单点登录的继任者)控制台
,然后使用顶部导航栏中的区域选择器选择要在其中创建 Bedrock Studio 工作 AWS 区的区域。 -
请选择 启用。在 “启用IAM身份中心” 对话框中,确保选择 “通过 Organizat ions AWS 启用”。
-
选择您的身份来源。
默认情况下,您可以获得 Ident IAM ity Center 存储库,以便快速轻松地管理用户。或者,您可以改为连接外部身份提供商。在此过程中,我们使用默认的 Ident IAM ity Center 存储。
有关更多信息,请参阅选择您的身份来源。
-
在IAM身份中心导航窗格中,选择群组,然后选择创建群组。输入群组名称并选择创建。
-
在 “IAM身份中心” 导航窗格中,选择 “用户”。
-
在添加用户屏幕上,输入所需信息,然后选择向用户发送包含密码设置说明的电子邮件。用户应该会收到一封关于后续设置步骤的电子邮件。
-
选择 “下一步:群组”,选择所需的群组,然后选择 “添加用户”。用户应收到一封邀请他们使用的电子邮件SSO。在这封电子邮件中,他们需要选择接受邀请并设置密码。
下一步: 步骤 2:创建权限边界、服务角色和配置角色。
步骤 2:创建权限边界、服务角色和配置角色
在创建 Amazon Bedrock Studio 工作空间之前,您需要创建权限边界、服务角色和配置角色。
提示
除了使用以下说明之外,您还可以使用 Amazon Bedrock Studio 引导程序脚本。有关更多信息,请参阅 bedrock_studio_bootstrapper.py
创建权限边界、服务角色和预配角色
登录 AWS Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 通过执行以下操作来创建权限边界。
在左侧导航窗格中,选择策略和创建策略。
选择JSON。
在策略编辑器中,在处输入策略权限边界。
选择下一步。
对于策略名称,请务必输入
AmazonDataZoneBedrockPermissionsBoundary。亚马逊 Bedrock Studio 期望这个确切的保单名称。选择创建策略。
通过执行以下操作来创建服务角色。
在左侧导航窗格中,选择角色,然后选择创建角色。
选择 “自定义信任策略”,然后使用中的信任策略信任关系。请务必更新中的所有可替换字段JSON。
选择下一步。
再次选择下一步。
在角色名称中输入角色名称。
选择 Create role(创建角色)。
通过选择页面顶部的 “查看角色” 或搜索角色来打开您刚刚创建的角色。
选择权限选项卡。
选择添加权限,然后选择创建内联策略。
在选择JSON并输入策略管理 Amazon Bedrock Studio 工作空间的权限。
选择 下一步。
在策略名称中输入策略名称。
选择创建策略。
通过执行以下操作创建置备角色。
在左侧导航窗格中,选择角色,然后选择创建角色。
选择 “自定义信任策略”,然后在自定义信任策略编辑器中输入信任策略信任关系。请务必更新中的所有可替换字段JSON。
选择下一步。
再次选择下一步。
在角色名称中输入角色名称。
选择 Create role(创建角色)。
通过选择页面顶部的 “查看角色” 或搜索角色来打开您刚刚创建的角色。
选择权限选项卡。
选择添加权限,然后选择创建内联策略。
在选择JSON并输入策略管理 Amazon Bedrock Studio 用户资源的权限。
选择下一步。
在策略名称中输入策略名称。
选择创建策略。
第 3 步:创建 Amazon Bedrock Studio 工作空间
要创建 Amazon Bedrock Studio 工作空间,请执行以下操作。
创建 Amazon Bedrock Studio 工作空间
-
登录 AWS 管理控制台并打开 Amazon Bedrock 控制台,网址为https://console.aws.amazon.com/bedrock/
。 在左侧导航窗格中,选择 B edrock Studio。
在 Bedrock Studio 工作空间中,选择 “创建工作空间” 以打开 “创建 Amazon Bedrock Studio”
如果还没有,请配置 AWS IAM安全性。有关更多信息,请参阅 第 1 步:为 Amazon Bedrock Studio 设置 AWS IAM身份中心。
在工作区详细信息中,输入工作空间的名称和描述。
在 “权限和角色” 部分中,执行以下操作:
-
在 “服务访问权限” 部分,选择 “使用现有服务角色”,然后选择您在中创建的服务角色步骤 2:创建权限边界、服务角色和配置角色。
-
在 “预配角色” 部分中,选择 “使用现有角色”,然后选择您在中创建的置备角色步骤 2:创建权限边界、服务角色和配置角色。
-
(可选)要将标签与工作区关联,请在 “标签” 部分中选择 “添加新标签”。然后输入标签的密钥和值。选择 “移除” 将标签从工作区中移除。
-
(可选)默认情况下,Amazon Bedrock Studio 使用拥有的密钥对工作空间和所有创建的资源进行加密。 AWS 要对工作空间和所有创建的资源使用自己的密钥,请执行以下操作。
在密KMS钥选择中选择 “自定义加密设置”,然后执行以下任一操作。
输入ARN您要使用的 AWS KMS 密钥。
选择创建 AWS KMS 密钥以创建新密钥。
有关密钥所需的权限的信息,请参阅亚马逊 Bedrock Studio 的加密。
-
使用 AWS KMS 密钥
EnableBedrock和值标记您的密钥true。有关更多信息,请参阅为密钥添加标签。
-
(可选)在默认模型中,为工作区选择默认生成模型和默认嵌入模型。默认生成模型在 Bedrock Studio 中显示为模型选择器中预先选择的默认模型。当用户创建知识库时,默认嵌入模型显示为默认模型。具有正确权限的 Bedrock Studio 用户可以随时更改其默认模型选择。
选择 “创建” 以创建工作区。
下一步:步骤 4:添加工作空间成员。
步骤 4:添加工作空间成员
创建 Bedrock Studio 工作区后,您可以向该工作区添加成员。工作空间成员可以在工作空间中使用 Amazon Bedrock 模型。成员可以是IAM身份中心授权用户或群组。您可以使用 Amazon Bedrock 控制台来管理工作空间的成员。添加新成员后,您可以向该成员发送工作空间链接。您也可以删除工作空间成员并进行其他更改。
要向工作区添加成员,请执行以下操作。
向 Amazon Bedrock Studio 工作空间添加成员
打开要添加用户的 Bedrock Studio 工作区。
选择用户管理选项卡。
在添加用户或群组中,搜索要添加到工作区的用户或群组。
(可选)通过选择要移除的用户或组并选择 “取消分配”,将用户或组从工作区中移除。
选择 “确认” 以更改成员资格。
通过执行以下操作邀请用户加入工作区。
选择 “概览” 选项卡
复制 B edrock Studio URL。
将发送URL给工作空间成员。
