创建 Amazon Bedrock Studio 工作区 - Amazon Bedrock
第 1 步:为 Amazon Bedrock Studio 设置 AWS IAM 身份中心步骤 2:创建权限边界和角色步骤 3:创建 Amazon Bedrock Studio 工作区步骤 4:添加工作区成员。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 Amazon Bedrock Studio 工作区

更名为亚马逊 Bedrock IDE 的 Amazon Bedrock Studio 现已在亚马逊 SageMaker 联合工作室上市。亚马逊 Bedrock Studio 将在 2025 年 2 月 28 日之前上市。在 2025 年 2 月 28 日之前,您可以访问先前版本中的现有工作空间,但不能创建新的工作空间。要访问具有其他特性和功能的 Amazon Bedrock Studio 增强版 GA 版本,您可以创建一个新的亚马逊 SageMaker Unified Studio 域名。要了解 Amazon Bedrock Studio IDE,请参阅文档

工作区是指您的用户(构建型用户和分析型用户)在 Amazon Bedrock Studio 中使用 Amazon Bedrock 基础模型的位置。在创建工作空间之前,必须使用 AWS IAM Identity Center 为用户配置单点登录 (SSO)。创建工作区时,您需要指定详细信息,例如工作区名称和您希望用户可以访问的默认基础模型。创建工作区后,您可以邀请用户成为该工作区的成员,并开始使用 Amazon Bedrock 模型。

第 1 步:为 Amazon Bedrock Studio 设置 AWS IAM 身份中心

要创建 Amazon Bedrock Studio 工作区,您首先需要为 Amazon Bedrock Studio 设置 AWS IAM Identity Center。

注意

AWS 身份中心必须在与 Bedrock Studio 工作区相同的 AWS 区域中启用。目前, AWS 身份中心只能在单个 AWS 区域启用。

要启用 AWS IAM Identity Center,您必须使用您的 Organizations 管理账户 AWS 的证书登录管理控制台。 AWS 使用来自 AWS Organizations 成员账户的凭证登录时,您无法启用 IAM Identity Center。有关更多信息,请参阅《Org anizations 用户指南》中的创建和管理 AWS 组织。

如果您已经在要创建 Bedrock Studio 工作空间的同一 AWS 区域启用并配置了 AWS IAM Identity Center( AWS 单点登录的继任者),则可以跳过本节中的步骤。您必须使用 AWS 组织层面实例配置 Identity Center。有关更多信息,请参阅 Manage organization and account instances of IAM Identity Center

完成以下步骤以启用 AWS IAM 身份中心( AWS 单点登录的继任者)。

  1. 打开 AWS IAM Identity Center( AWS 单点登录的继任者)控制台,然后使用顶部导航栏中的区域选择器选择要在其中创建 Bedrock Studio 工作空间的 AWS 区域。

  2. 请选择启用。在启用 IAM Identity Center 对话框中,请务必选择通过 AWS Organizations 启用

  3. 选择身份源。

    默认情况下,您将获得一个 IAM Identity Center 存储,以便快速轻松地管理用户。您也可以选择使用外部身份提供程序。我们这里使用默认的 IAM Identity Center 存储。

    有关更多信息,请参阅 Choose your identity source

  4. 在 IAM Identity Center 导航窗格中,选择,然后选择创建组。输入组名称并选择创建

  5. 在 IAM Identity Center 导航窗格中,选择用户

  6. 添加用户页面上,输入所需信息,然后选择向用户发送包含密码设置说明的电子邮件。用户将收到一封包含后续设置步骤的电子邮件。

  7. 选择下一步:组,再选择所需的组,然后选择添加用户。用户将收到一封邀请他们使用 SSO 的电子邮件。在这封电子邮件中,他们需要选择“接受邀请”并设置密码。

  8. 下一步:步骤 2:创建权限边界、服务角色和预调配角色

步骤 2:创建权限边界、服务角色和预调配角色

在创建 Amazon Bedrock Studio 工作区之前,您需要创建权限边界、服务角色和预调配角色。

提示

除了按照以下说明操作之外,您还可以使用 Amazon Bedrock Studio 引导程序脚本。有关更多信息,请参阅 bedrock_studio_bootstrapper.py

创建权限边界、服务角色和预调配角色

  1. 登录 AWS Management Console 并打开 IAM 控制台,网址为https://console.aws.amazon.com/iam/

  2. 执行以下操作,创建一个权限边界。

    1. 在左侧导航窗格中,依次选择策略创建策略

    2. 选择 JSON

    3. 在策略编辑器中,输入 权限边界 中的策略。

    4. 选择下一步

    5. 对于策略名称,请务必输入 AmazonDataZoneBedrockPermissionsBoundary。Amazon Bedrock Studio 要求必须使用这一策略名称。

    6. 选择创建策略

  3. 执行以下操作,创建一个服务角色。

    1. 在左侧的导航窗格中,选择角色,然后选择创建角色

    2. 选择自定义信任策略,然后使用 信任关系 中的信任策略。请务必更新 JSON 中的所有可替换字段。

    3. 选择下一步

    4. 再次选择下一步

    5. 角色名称中,输入一个角色名称。

    6. 选择创建角色

    7. 选择页面顶部的查看角色或搜索角色,打开您刚刚创建的角色。

    8. 选择 Permissions(权限)选项卡。

    9. 选择添加权限,然后选择创建内联策略

    10. 选择 JSON,然后输入 用于管理 Amazon Bedrock Studio 工作空间的权限 中的策略。

    11. 选择 下一步

    12. 策略名称中,输入一个策略名称。

    13. 选择创建策略

  4. 执行以下操作,创建一个预调配角色。

    1. 在左侧的导航窗格中,选择角色,然后选择创建角色

    2. 选择自定义信任策略,然后在自定义信任策略编辑器中输入 信任关系 中的信任策略。请务必更新 JSON 中的所有可替换字段。

    3. 选择下一步

    4. 再次选择下一步

    5. 角色名称中,输入一个角色名称。

    6. 选择创建角色

    7. 选择页面顶部的查看角色或搜索角色,打开您刚刚创建的角色。

    8. 选择 Permissions(权限)选项卡。

    9. 选择添加权限,然后选择创建内联策略

    10. 选择 JSON,然后输入 用于管理 Amazon Bedrock Studio 用户资源的权限 中的策略。

    11. 选择下一步

    12. 策略名称中,输入一个策略名称。

    13. 选择创建策略

  5. 下一步:步骤 3:创建 Amazon Bedrock Studio 工作区

步骤 3:创建 Amazon Bedrock Studio 工作区

要创建 Amazon Bedrock Studio 工作区,请执行以下操作。

创建 Amazon Bedrock Studio 工作区

  1. 登录 AWS 管理控制台并打开 Amazon Bedrock 控制台,网址为https://console.aws.amazon.com/bedrock/

  2. 在左侧导航窗格中,选择 Bedrock Studio

  3. Bedrock Studio 工作区中,选择创建工作区以打开创建 Amazon Bedrock Studio 工作区

  4. 如果您还没有,请配置 AWS IAM 安全。有关更多信息,请参阅 第 1 步:为 Amazon Bedrock Studio 设置 AWS IAM 身份中心

  5. 工作区详细信息中,输入工作区的名称和描述。

  6. 权限和角色部分,执行以下操作:

    1. 服务访问权限部分,选择使用现有服务角色,然后选择您在步骤 2:创建权限边界、服务角色和预调配角色中创建的服务角色。

    2. 预调配角色部分,选择使用现有角色,然后选择您在步骤 2:创建权限边界、服务角色和预调配角色中创建的预调配角色。

  7. (可选)在标签部分,选择添加新标签,将标签与该工作区相关联。然后输入标签的。选择移除可以将标签从工作区中移除。

  8. (可选)默认情况下,Amazon Bedrock Studio 使用拥有的密钥对工作空间和所有创建的资源进行加密。 AWS 要针对工作区和所有创建的资源使用自己的密钥,请执行以下操作。

    1. KMS 密钥选择中选择自定义加密设置,然后执行以下任一操作。

      • 输入您要使用的 AWS KMS 密钥的 ARN。

      • 选择创建 AWS KMS 密钥以创建新密钥。

      有关密钥所需权限的信息,请参阅 Amazon Bedrock Studio 加密

    2. 使用 AWS KMS 密钥EnableBedrock和值标记您的密钥true。有关更多信息,请参阅 Tagging keys

  9. (可选)在默认模型中,为工作区选择默认生成模型和默认嵌入模型。默认生成模型在 Bedrock Studio 中显示为模型选择器中预先选择的默认模型。当用户创建知识库时,默认嵌入模型显示为默认模型。具有正确权限的 Bedrock Studio 用户可以随时更改其默认模型选择。

  10. 选择创建以创建工作区。

  11. 下一步:步骤 4:添加工作区成员

步骤 4:添加工作区成员。

创建 Bedrock Studio 工作区后,您可以向该工作区添加成员。工作区成员可以在工作区中使用 Amazon Bedrock 模型。成员可以是获得授权的 IAM Identity Center 用户或组。您可以使用 Amazon Bedrock 控制台来管理工作区的成员。添加新成员后,您可以向该成员发送指向工作区的链接。您也可以删除工作区成员并进行其他更改。

要向工作区添加成员,请执行以下操作。

向 Amazon Bedrock Studio 工作区添加成员

  1. 打开要添加用户的 Bedrock Studio 工作区。

  2. 选择用户管理选项卡。

  3. 添加用户或组中,搜索要添加到工作区的用户或组。

  4. (可选)选择要删除的用户或组,然后选择取消分配,这样可以将用户或组从工作区中删除。

  5. 选择确认以变更成员。

  6. 执行以下操作,邀请用户加入工作区。

    1. 选择概述选项卡。

    2. 复制 Bedrock Studio 的 URL

    3. 将该 URL 发送给工作区成员。