授予使用者在畫布中使用 Amazon 基岩和生成 AI 功能的許可 - Amazon SageMaker
步驟 1:添加 Amazon 基岩模型訪問步驟 2:授與使用者IAM角色的權限

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授予使用者在畫布中使用 Amazon 基岩和生成 AI 功能的許可

Amazon SageMaker Canvas 中的生成式人工智慧功能由 Amazon 基礎模型提供支援,這些模型是大型語言模型 (LLMs),能夠理解和產生類似人類文字的功能。本頁說明如何授與 SageMaker Canvas 中下列功能所需的權限:

若要使用這些功能,您必須先要求存取您要使用的特定 Amazon 基岩模型。然後,將必要的 AWS IAM許可和與 Amazon 基岩的信任關係新增至使用者的執行角色。若要將權限授與角色,您可以選擇下列其中一種方法:

  • 建立新的 Amazon SageMaker 網域或使用者設定檔,並開啟 Amazon 基岩許可。如需詳細資訊,請參閱開始使用 Amazon SageMaker 畫布

  • 編輯現有 Amazon SageMaker 網域或使用者設定檔的設定。

  • 手動將權限和信任關係新增至網域或使用者的IAM角色。

步驟 1:添加 Amazon 基岩模型訪問

預設情況下不會授予對 Amazon 基岩模型的存取權,因此您必須前往 Amazon 基岩主控台要求存取帳戶的模型。 AWS

若要了解如何請求存取特定 Amazon 基岩模型,請遵循 Amazon 基岩使用者指南中頁面上的新增模型存取權限管理 Amazon 基礎模型的存取權限。

步驟 2:授與使用者IAM角色的權限

設定 Amazon 網 SageMaker 域或使用者設定檔時,使用者的IAM執行角色必須附加 AmazonSageMakerCanvasBedrockAccess政策,以及與 Amazon 基岩建立信任關係,以便您的使用者可以從 Canvas 存取 Amazon 基岩模型。 SageMaker

您可以修改網域設定,並建立新的執行角色 (為您 SageMaker附加必要的權限) 或指定現有角色。

或者,您可以透過IAM主控台手動修改現有IAM角色的權限。

兩種方法如下節所述。

您可以編輯網域或使用者設定檔設定,以開啟 Canvas R eady-to-use 模型組態設定,並指定 Amazon 基岩角色。

若要為網域中的 Canvas 使用者編輯網域設定並授與 Amazon 基岩模型的存取權限,請執行以下操作:

  1. 移至 SageMaker 主控台,位於https://console.aws.amazon.com/sagemaker/

  2. 在左側導覽窗格中選擇 Domains (網域)。

  3. 從網域清單中選擇您的網域。

  4. 選擇「應用程式設定」標籤。

  5. 在「畫布」區段中,選擇 「編輯」。

  6. 輯畫布設定頁面隨即開啟。對於 Canvas R eady-to-use 模型配置部分,請執行以下操作:

    1. 啟啟用畫布 R eady-to-use 模型選項

    2. 對於 Amazon 基岩角色,請選取建立並使用新的執行角色來建立新的IAM執行角色,該角色已連接 AmazonSageMakerCanvasBedrockAccess政策並與 Amazon 基岩建立信任關係。當您存取 Amazon 基岩模型、使用聊天進行資料準備功能或在 Canvas 中微調 Amazon 基岩模型時,Amazon 基岩會擔任此IAM角色。如果您已有具有信任關係的執行角色,請選取 [使用現有的執行角色],然後從下拉式清單中選擇您的角色。

  7. 選擇「提交」以儲存變更。

您的使用者現在應具備必要的許可,才能存取 Amazon 基岩模型、使用聊天進行資料準備功能,以及在 Canvas 中微調 Amazon 基岩模型。

您可以使用上述相同的程序來編輯個別使用者的設定,但從網域頁面進入個別使用者的設定檔並編輯使用者設定。授與個別使用者的權限不會套用至網域中的其他使用者,而透過網域設定授與的權限則會套用至網域中的所有使用者設定檔。

如需有關編輯網域設定的詳細資訊,請參閱檢視和編輯網域

您可以在 Canvas 中手動授與使用者存取和微調 Amazon 基岩模型的權限,方法是將權限新增至為網域或使用者設定檔指定的IAM角色。IAM角色必須附加政 AmazonSageMakerCanvasBedrockAccess策,並與 Amazon 基岩建立信任關係。

以下部分說明如何將政策附加到您的IAM角色,以及如何與 Amazon 基岩建立信任關係。

首先,請記下您的網域或使用者設定檔的IAM角色。請注意,授予個別使用者的權限不會套用至網域中的其他使用者,而透過網域授與的權限則適用於網域中的所有使用者設定檔。

若要在 Canvas 中設定IAM角色並授與微調基礎模型的權限,請執行下列動作:

  1. 移至IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在左側導覽窗格中,選擇 Roles (角色)。

  3. 從IAM角色清單中依名稱搜尋使用者的角色,然後加以選取。

  4. Permissions (許可) 標籤上,選擇 Add permissions (新增許可)。在下拉式清單中,選擇連接政策

  5. 搜尋AmazonSageMakerCanvasBedrockAccess策略並加以選取。

  6. 選擇 [新增權限]。

  7. 回到IAM角色頁面上,選擇 [信任關係] 索引標籤。

  8. 選擇編輯信任政策

  9. 在政策編輯器中,找到右側面板中的 [新增主參與者] 選項,然後選擇 [新增]。

  10. 在對話方塊中,選取AWS 服務做為主體類型

  11. 對於 ARN,輸入bedrock.amazonaws.com

  12. 選擇新增主參與者

  13. 選擇更新政策

您現在應該擁有已附加 AmazonSageMakerCanvasBedrockAccess政策的IAM角色,並與 Amazon 基岩建立信任關係。如需有關 AWS 受管理策略的詳細資訊,請參閱IAM使用指南中的受管理策略和內嵌政策