授予使用者在 Canvas 中使用 Amazon Bedrock 和生成式 AI 功能的許可 - Amazon SageMaker AI
步驟 1:新增 Amazon Bedrock 模型存取步驟 2:將許可授予使用者的 IAM 角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授予使用者在 Canvas 中使用 Amazon Bedrock 和生成式 AI 功能的許可

Amazon SageMaker Canvas 中的生成式 AI 功能採用 Amazon Bedrock 基礎模型,這些模型是大型語言模型 (LLMs),能夠了解和產生類似人類的文字。此頁面說明如何授予 SageMaker Canvas 中下列功能所需的許可:

若要使用這些功能,您必須先請求存取您要使用的特定 Amazon Bedrock 模型。然後,將必要的 AWS IAM 許可和與 Amazon Bedrock 的信任關係新增至使用者的執行角色。若要將許可授予角色,您可以選擇下列其中一種方法:

  • 建立新的 Amazon SageMaker AI 網域或使用者設定檔,並開啟 Amazon Bedrock 許可。如需詳細資訊,請參閱Amazon Sagemaker Canvas 使用入門

  • 編輯現有 Amazon SageMaker AI 網域或使用者設定檔的設定。

  • 手動將許可和信任關係新增至網域或使用者的 IAM 角色。

步驟 1:新增 Amazon Bedrock 模型存取

Amazon Bedrock 模型的存取權預設不會授予,因此您必須前往 Amazon Bedrock 主控台,請求存取您 AWS 帳戶的模型。

若要了解如何請求存取特定 Amazon Bedrock 模型,請遵循《Amazon Bedrock 使用者指南》中的頁面管理對 Amazon Bedrock 基礎模型的存取新增模型存取的程序。

步驟 2:將許可授予使用者的 IAM 角色

設定 Amazon SageMaker AI 網域或使用者設定檔時,使用者的 IAM 執行角色必須連接 AmazonSageMakerCanvasBedrockAccess 政策,以及與 Amazon Bedrock 的信任關係,以便您的使用者可以從 SageMaker Canvas 存取 Amazon Bedrock 模型。

您可以修改網域設定,並建立新的執行角色 (SageMaker AI 會為您連接所需的許可) 或指定現有的角色。

或者,您可以透過 IAM 主控台手動修改現有 IAM 角色的許可。

兩種方法如下節所述。

您可以編輯網域或使用者設定檔設定,以開啟 Canvas Ready-to-use型模型組態設定,並指定 Amazon Bedrock 角色。

若要編輯網域設定,並授予網域中 Canvas 使用者的 Amazon Bedrock 模型存取權,請執行下列動作:

  1. 前往 SageMaker AI 主控台,網址為 https://https://console.aws.amazon.com/sagemaker/

  2. 在左側導覽窗格中選擇 Domains (網域)。

  3. 從網域清單中,選擇您的網域。

  4. 選擇應用程式組態索引標籤。

  5. Canvas 區段中,選擇編輯

  6. 編輯 Canvas 設定頁面隨即開啟。對於 Canvas Ready-to-use型模型組態區段,請執行下列動作:

    1. 開啟啟用 Canvas Ready-to-use型模型選項

    2. 針對 Amazon Bedrock 角色,選取建立並使用新的執行角色,以建立新的 IAM 執行角色,其已連接 AmazonSageMakerCanvasBedrockAccess 政策,並與 Amazon Bedrock 建立信任關係。當您存取 Amazon Bedrock 模型、使用聊天功能進行資料準備功能,或在 Canvas 中微調 Amazon Bedrock 模型時,Amazon Bedrock 會擔任此 IAM 角色。如果您已有具有信任關係的執行角色,請選取使用現有的執行角色,然後從下拉式清單中選擇您的角色。

  7. 選擇提交以儲存您的變更。

您的使用者現在應具備存取 Amazon Bedrock 模型、使用聊天功能進行資料準備功能,以及在 Canvas 中微調 Amazon Bedrock 模型的必要許可。

您可以使用上述相同程序來編輯個別使用者的設定,但從網域頁面進入個別使用者的設定檔,改為編輯使用者設定。授予個別使用者的許可不適用於網域中的其他使用者,而透過網域設定授予的許可則適用於網域中的所有使用者設定檔。

如需編輯網域設定的詳細資訊,請參閱檢視和編輯網域

您可以手動授予使用者存取和微調 Canvas 中 Amazon Bedrock 模型的許可,方法是將許可新增至為網域或使用者設定檔指定的 IAM 角色。IAM 角色必須連接 AmazonSageMakerCanvasBedrockAccess 政策,並與 Amazon Bedrock 建立信任關係。

下一節說明如何將政策連接至 IAM 角色,並與 Amazon Bedrock 建立信任關係。

首先,記下您的網域或使用者設定檔的 IAM 角色。請注意,授予個別使用者的許可不適用於網域中的其他使用者,而透過網域授予的許可則適用於網域中的所有使用者設定檔。

若要設定 IAM 角色,並授予在 Canvas 中微調基礎模型的許可,請執行下列動作:

  1. 移至 IAM 主控台 https://console.aws.amazon.com/iam/

  2. 在左側導覽窗格中,選擇 Roles (角色)。

  3. 從角色清單中依名稱搜尋使用者的 IAM 角色,然後加以選取。

  4. Permissions (許可) 標籤上,選擇 Add permissions (新增許可)。在下拉式清單中,選擇連接政策

  5. 搜尋並選取AmazonSageMakerCanvasBedrockAccess政策。

  6. 選擇新增許可

  7. 返回 IAM 角色的頁面,選擇信任關係索引標籤。

  8. 選擇編輯信任政策

  9. 在政策編輯器中,尋找右側面板中的新增主體選項,然後選擇新增

  10. 在對話方塊中,針對主體類型,選取AWS 服務

  11. 針對 ARN,輸入 bedrock.amazonaws.com

  12. 選擇新增主體

  13. 選擇更新政策

您現在應該擁有已連接 AmazonSageMakerCanvasBedrockAccess 政策的 IAM 角色,以及與 Amazon Bedrock 的信任關係。如需 AWS 受管政策的相關資訊,請參閱《IAM 使用者指南》中的受管政策和內嵌政策