本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
滿足共用模型的先決條件
Amazon 基岩界面與AWS Organizations服務 AWS Resource Access Manager,以允許模型的共享。您必須符合下列先決條件,才能與其他帳戶共用模型:
若要讓帳號與另一個帳號共用模型,這兩個帳號必須是中相同組織的一部份, AWS Organizations 且 AWS RAM 必須在中啟用組織的資源共用功能。若要設定組織並邀請帳戶加入組織,請執行下列動作:
-
AWS Organizations 按照《使用者指南》 AWS RAM 中「啟用資源共用」中的步驟,啟用 AWS Organizations中的資源共 AWS RAM 用功能。
-
AWS Organizations 按照《 AWS Organizations 使用者指南》中〈建立組織〉中的步驟建立組織。
-
按照 AWS Organizations 使用者指南中邀請加入您的組織中的步驟,邀請您要與其共用模型的帳戶。 AWS 帳戶
-
您傳送邀請函的帳戶 adnistrator 必須遵循接受或拒絕組織邀請中的步驟來接受邀請。
若要讓角色擁有共用模型的權限,該角色必須同時具有 Amazon 基岩和 AWS RAM 動作的許可。將下列政策連接至該角色:
-
若要為角色透過管理模型與其他帳戶共用的權限 AWS Resource Access Manager,請將下列以身分識別為基礎的原則附加至該角色,以提供最低權限:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ShareResources", "Effect": "Allow", "Action": [ "ram:CreateResourceShare", "ram:UpdateResourceShare", "ram:DeleteResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:GetResourceShares" ], "Resource": [ "${model-arn}" ] } ] }Replace (取代)
${model-arn}使用您要共享的模型的 Amazon 資源名稱(ARN)。視需要將模型新增至Resource清單。您可以檢閱「動作」、「資源」和「條件」索引鍵, AWS Resource Access Manager並視需要修改角色可執行的 AWS RAM 動作。注意
您也可以將較寬鬆的AWS ResourceManagerFullAccess 受管理原則附加至角色。
-
檢查角色是否已附加AmazonBedrockFullAccess 原則。如果沒有,您也必須將下列原則附加至角色,以允許其共用模型 (取代)
${model-arn})必要時:{ "Version": "2012-10-17", "Statement": [ { "Sid": "ShareCustomModels", "Effect": "Allow", "Action": [ "bedrock:GetCustomModel", "bedrock:ListCustomModels", "bedrock:PutResourcePolicy", "bedrock:GetResourcePolicy", "bedrock:DeleteResourcePolicy" ], "Resource": [ "${model-arn}" ] } ] }
注意
如果您共用的模型未使用客戶管理的金鑰加密,且您不打算加密該模型,請略過此先決條件。
如果您需要先使用客戶管理的金鑰加密模型,然後再與其他帳戶共用該模型,請依照中的步驟,將權限附加至您將用來加密模型的KMS金鑰設定加密自訂模型的金鑰權限。
如果您與其他帳戶共用的模型使用客戶管理的金鑰加密,請將權限附加至加密模型的KMS金鑰,以允許收件者帳戶依照中的步驟將其解密設定複製自訂模型的關鍵權限。
