授予用户在 Canvas 中使用 Amazon Bedrock 和生成式人工智能功能的权限 - 亚马逊 SageMaker AI

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予用户在 Canvas 中使用 Amazon Bedrock 和生成式人工智能功能的权限

Amazon C SageMaker anvas 中的生成式人工智能功能由 Amazon Bedrock 基础模型提供支持,这些模型是大型语言模型 (LLMs),能够理解和生成类似人类的文本。本页介绍如何授予 C SageMaker anvas 中以下功能所需的权限:

要使用这些功能,您必须先申请访问您要使用的特定 Amazon Bedrock 模型。然后,将必要的 AWS IAM 权限以及与 Amazon Bedrock 的信任关系添加到用户的执行角色中。要授予角色权限,您可以选择以下方法之一:

  • 创建新的 Amazon SageMaker AI 域名或用户个人资料并开启亚马逊 Bedrock 权限。有关更多信息,请参阅 开始使用 Amazon C SageMaker anvas

  • 编辑现有 Amazon A SageMaker I 域名或用户个人资料的设置。

  • 手动向域或用户的 IAM 角色添加权限和信任关系。

步骤 1:添加 Amazon Bedrock 模型访问权限

默认情况下,不会授予访问亚马逊 Bedrock 模型的权限,因此您必须前往 Amazon Bedrock 控制台为您的 AWS 账户申请访问模型。

要了解如何请求访问特定的 Amazon Bedrock 模型,请按照《Amazon Bedrock 用户指南》管理对 Amazon Bedrock 基础模型的访问权限页面上的添加模型访问权限的步骤进行操作。

步骤 2:向用户的 IAM 角色授予权限

在设置您的 Amazon A SageMaker I 域或用户个人资料时,用户的 IAM 执行角色必须附加 AmazonSageMakerCanvasBedrockAccess策略以及与 Amazon Bedrock 的信任关系,以便您的用户可以从 SageMaker Canvas 访问亚马逊 Bedrock 模型。

您可以修改域设置,然后创建新的执行角色( SageMaker AI 会为您附加所需的权限),也可以指定现有角色。

或者,您也可以通过 IAM 管理控制台手动修改现有的 IAM 角色的权限。

以下部分中将介绍这两种方法。

您可以编辑您的域名或用户个人资料设置以打开 C anvas Ready-to-use 模型配置设置并指定 Amazon Bedrock 角色。

要编辑域设置并向域中的 Canvas 用户授予对 Amazon Bedrock 模型的访问权限,请执行以下操作:

  1. 前往 SageMaker AI 控制台,网址为https://console.aws.amazon.com/sagemaker/

  2. 在左侧导航窗格中,选择

  3. 从域列表中选择您的域。

  4. 选择应用程序配置选项卡。

  5. Canvas 部分中,选择编辑

  6. 此时将打开编辑 Canvas 设置页面。对于 Canvas Ready-to-use 模型配置部分,请执行以下操作:

    1. 打开 “启用画布 Ready-to-use模型” 选项

    2. 对于 Amazon Bedrock 角色,选择创建并使用新的执行角色来创建新的 IAM 执行角色,该角色附有 AmazonSageMakerCanvasBedrockAccess策略并与 Amazon Bedrock 建立信任关系。当您访问 Amazon Bedrock 模型、使用数据准备聊天功能或在 Canvas 中微调 Amazon Bedrock 模型时,此 IAM 角色将由 Amazon Bedrock 担任。如果您已经有一个具有信任关系的执行角色,请选择使用现有的执行角色,然后从下拉列表中选择您的角色。

  7. 选择 Submit (提交) 可保存您的更改。

现在,您的用户应该拥有访问 Amazon Bedrock 模型、使用数据准备聊天功能以及在 Canvas 中微调 Amazon Bedrock 模型所需的权限。

您可以使用上述编辑单个用户设置的相同步骤,但要从域页面进入单个用户的配置文件,然后编辑用户设置。授予单个用户的权限不适用于域中的其他用户,而通过域设置授予的权限则适用于域中的所有用户配置文件。

有关编辑域设置的更多信息,请参阅查看和编辑域

您可以通过为域或用户配置文件指定的 IAM 角色添加权限,手动授予用户在 Canvas 中访问和微调 Amazon Bedrock 模型的权限。IAM 角色必须附加 AmazonSageMakerCanvasBedrockAccess政策并与 Amazon Bedrock 建立信任关系。

下一节将向您介绍如何将策略附加到 IAM 角色以及如何与 Amazon Bedrock 建立信任关系。

首先,请注意您的域或用户配置文件的 IAM 角色。请注意,授予单个用户的权限不适用于域中的其他用户,而通过域授予的权限则适用于域中的所有用户配置文件。

要配置 IAM 角色并授予在 Canvas 中微调基础模型的权限,请执行以下操作:

  1. 前往 IAM 控制台,网址为https://console.aws.amazon.com/iam/

  2. 在左侧导航窗格中,选择 角色

  3. 从角色列表中按名称搜索用户的 IAM 角色并将其选中。

  4. 权限选项卡中,请选择添加权限。从下拉菜单中选择附加策略

  5. 搜索 AmazonSageMakerCanvasBedrockAccess 策略并将其选中。

  6. 选择 Add permissions(添加权限)

  7. 回到 IAM 角色页面,选择信任关系选项卡。

  8. 选择编辑信任策略

  9. 在策略编辑器中,找到右侧面板中的添加主体选项,然后选择添加

  10. 在对话框中的主体类型中,选择 AWS 服务

  11. ARN 中,输入 bedrock.amazonaws.com

  12. 选择添加主体

  13. 选择更新策略

现在,您应该拥有一个附有 AmazonSageMakerCanvasBedrockAccess策略的 IAM 角色并与 Amazon Bedrock 建立信任关系。有关 AWS 托管策略的信息,请参阅 IAM 用户指南中的托管策略和内联策略