授予用户在 Canvas 中使用 Amazon 基岩和生成人工智能功能的权限

Amazon C SageMaker anvas 中的生成式人工智能功能由 Amazon Bedrock 基础模型提供支持，这些模型是大型语言模型 (LLMs)，能够理解和生成类似人类的文本。本页介绍如何授予 C SageMaker anvas 中以下功能所需的权限：

• 与亚马逊 Bedrock 模型聊天和比较：通过 C anvas 访问亚马逊 Bedrock 模特并开始对话聊天。 SageMaker

• 使用 Data Wrangler 中的聊天进行数据准备功能：使用自然语言浏览、可视化和转换数据。此功能由 Anthropic Claude 2 提供支持。

• 微调 Amazon Bedrock 基础模型：根据您自己的数据微调亚马逊 Bedrock 基础模型，以接收自定义的响应。

要使用这些功能，您必须先申请访问要使用的特定 Amazon Bedrock 型号。然后，将必要的 AWS IAM权限以及与 Amazon Bedrock 的信任关系添加到用户的执行角色中。要向角色授予权限，您可以选择以下方法之一：

• 创建新的亚马逊 SageMaker 域名或用户个人资料并开启亚马逊 Bedrock 权限。有关更多信息，请参阅 开始使用 Amazon C SageMaker anvas。

• 编辑现有 Amazon SageMaker 域名或用户个人资料的设置。

• 手动向域或用户的IAM角色添加权限和信任关系。

第 1 步：添加 Amazon Bedrock 模型访问权限

默认情况下，不会授予访问亚马逊 Bedrock 模型的权限，因此您必须前往亚马逊 Bedrock 控制台申请账户 AWS 访问模型。

要了解如何请求访问特定的 Amazon Bedrock 模型，请按照《亚马逊 Bedrock 用户指南》中管理对亚马逊 Bedrock 基础模型的访问权限页面上的添加模型访问权限的步骤进行操作。

步骤 2：向用户的IAM角色授予权限

在设置您的亚马逊 SageMaker 域名或用户个人资料时，用户的IAM执行角色必须附加 AmazonSageMakerCanvasBedrockAccess策略以及与 Amazon Bedrock 的信任关系，以便您的用户可以从 SageMaker Canvas 访问亚马逊 Bedrock 模型。

您可以修改域设置，然后创建新的执行角色（该角色将为您 SageMaker附加所需的权限），也可以指定现有角色。

或者，您可以通过IAM控制台手动修改现有IAM角色的权限。

以下部分中将介绍这两种方法。

通过域名设置授予权限

您可以编辑您的域名或用户个人资料设置以打开 C anvas Ready-to-use 模型配置设置并指定 Amazon Bedrock 角色。

要编辑您的域名设置并向该域中的 Canvas 用户授予对 Amazon Bedrock 模型的访问权限，请执行以下操作：

1. 转到 SageMaker 控制台，网址为https://console.aws.amazon.com/sagemaker/。

2. 在左侧导航窗格中，选择 域。

3. 从域名列表中选择您的域名。

4. 选择 “应用程序配置” 选项卡。

5. 在 “画布” 部分中，选择编辑。

6. 编辑画布设置页面打开。对于 Canvas Ready-to-use 模型配置部分，请执行以下操作：

   1. 打开 “启用画布 Ready-to-use模型” 选项。

   2. 对于 Amazon Bedrock 角色，选择 “创建”，然后使用新的执行角色来创建新的IAM执行角色，该角色附有 AmazonSageMakerCanvasBedrockAccess策略并与 Amazon Bedrock 建立信任关系。当您访问 Amazon Bedrock 模型、使用聊天进行数据准备功能或在 Canvas 中微调亚马逊 Bedrock 模型时，Amazon Bedrock 将担任此IAM角色。如果您已经有一个具有信任关系的执行角色，请选择 “使用现有的执行角色”，然后从下拉列表中选择您的角色。

7. 选择 “提交” 以保存您的更改。

现在，您的用户应该拥有访问亚马逊 Bedrock 模型、使用聊天进行数据准备功能以及在 Canvas 中微调 Amazon Bedrock 模型的必要权限。

除了从域名页面进入单个用户的个人资料并编辑用户设置之外，您还可以使用上述相同的步骤来编辑单个用户的设置。授予个人用户的权限不适用于网域中的其他用户，而通过网域设置授予的权限适用于网域中的所有用户配置文件。

有关编辑域名设置的更多信息，请参阅查看和编辑域名。

通过手动授予权限 IAM

通过向为域名或用户个人资料指定的IAM角色添加权限，您可以手动授予用户在 Canvas 中访问和微调 Amazon Bedrock 模型的权限。该IAM角色必须附带 AmazonSageMakerCanvasBedrockAccess政策并与 Amazon Bedrock 建立信任关系。

以下部分向您展示如何将策略附加到您的IAM角色以及如何与 Amazon Bedrock 建立信任关系。

首先，请记下您的域名或用户个人资料的IAM角色。请注意，授予个人用户的权限不适用于网域中的其他用户，而通过网域授予的权限适用于网域中的所有用户配置文件。

要在 Canvas 中配置IAM角色并授予微调基础模型的权限，请执行以下操作：

1. 转到IAM控制台，网址为https://console.aws.amazon.com/iam/。

2. 在左侧导航窗格中，选择 Roles（角色）。

3. 从IAM角色列表中按名称搜索用户的角色并将其选中。

4. 在权限选项卡中，请选择添加权限。从下拉菜单中选择附加策略。

5. 搜索AmazonSageMakerCanvasBedrockAccess策略并将其选中。

6. 选择添加权限。

7. 返回IAM角色页面，选择信任关系选项卡。

8. 选择编辑信任策略。

9. 在策略编辑器中，找到右侧面板中的添加委托人选项，然后选择添加。

10. 在对话框中，对于 “主体类型”，选择AWS 服务。

11. 对于 ARN，请输入bedrock.amazonaws.com。

12. 选择添加主体。

13. 选择更新策略。

现在，您应该拥有一个附有 AmazonSageMakerCanvasBedrockAccess政策并与 Amazon Bedrock 建立信任关系的IAM职位。有关 AWS 托管策略的信息，请参阅《IAM用户指南》中的托管策略和内联策略。