本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
满足共享模型的先决条件
Amazon Bedrock 与AWS Resource Access Manager和AWS Organizations服务接口,允许共享模型。在与其他账户共享模型之前,您必须满足以下先决条件:
要使一个账户与另一个账户共享模型,则这两个账户必须属于同一个组织, AWS Organizations 并且 AWS RAM 必须为该组织启用资源共享。要设置组织并邀请账号加入该组织,请执行以下操作:
-
AWS Organizations 按照《 AWS RAM 用户指南》 AWS RAM 中的 “启用资源共享” 中的步骤在 AWS Organizations中启用资源共享。
-
AWS Organizations 按照 AWS Organizations 用户指南中创建组织中的步骤在中创建组织。
-
按照 AWS Organizations 用户指南中邀请加入您的组织中的步骤邀请您想要与之共享模型的账号。 AWS 账户
-
您向其发送邀请的账户的管理员必须按照接受或拒绝组织邀请中的步骤接受邀请。
要使角色拥有共享模型的权限,它必须同时拥有对 Amazon Bedrock 和 AWS RAM 操作的权限。附加以下策略到角色:
-
要为角色提供通过管理与其他账户共享模型的权限 AWS Resource Access Manager,请将以下基于身份的策略附加到该角色以提供最低权限:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ShareResources", "Effect": "Allow", "Action": [ "ram:CreateResourceShare", "ram:UpdateResourceShare", "ram:DeleteResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:GetResourceShares" ], "Resource": [ "${model-arn}" ] } ] }Replace(替换)
${model-arn}使用您要共享的模型的 Amazon 资源名称 (ARN)。根据需要将模型添加到Resource列表中。您可以查看该角色的操作、资源和条件键, AWS Resource Access Manager并根据需要修改该角色可以执行的 AWS RAM 操作。注意
您也可以将更宽松的AWS ResourceManagerFullAccess 托管策略附加到该角色。
-
检查该角色是否已附加AmazonBedrockFullAccess 策略。如果不是,则还必须将以下策略附加到角色以允许其共享模型(替换
${model-arn}) 如有必要:{ "Version": "2012-10-17", "Statement": [ { "Sid": "ShareCustomModels", "Effect": "Allow", "Action": [ "bedrock:GetCustomModel", "bedrock:ListCustomModels", "bedrock:PutResourcePolicy", "bedrock:GetResourcePolicy", "bedrock:DeleteResourcePolicy" ], "Resource": [ "${model-arn}" ] } ] }
注意
如果您共享的模型未使用客户托管密钥进行加密,并且您不打算对其进行加密,请跳过此先决条件。
如果您需要在与其他账户共享之前使用客户管理的密钥对模型进行加密,请按照中的步骤为用于加密模型的密KMS钥附加权限设置加密自定义模型的密钥权限。
如果您与其他账户共享的模型使用客户托管密钥加密,请按照中的步骤为加密该模型的密KMS钥附加权限,以允许收件人账户对其进行解密。设置复制自定义模型的密钥权限
