Erteilen von Berechtigungen zur Verwendung von Amazon-Bedrock-Features und Features der generativen KI in Canvas - Amazon SageMaker AI
Schritt 1: Amazon-Bedrock-Modellzugriff hinzufügenSchritt 2: Berechtigungen für Benutzer in IAM-Rolle erteilen

Erteilen von Berechtigungen zur Verwendung von Amazon-Bedrock-Features und Features der generativen KI in Canvas

Features der generativen KI in Amazon SageMaker Canvas basieren auf Amazon-Bedrock-Grundlagenmodellen, bei denen es sich um große Sprachmodelle (LLMs) handelt, die menschenähnlichen Text verstehen und generieren können. Auf dieser Seite wird beschrieben, wie Sie die für die folgenden Features in SageMaker Canvas erforderlichen Berechtigungen gewähren:

Um diese Features nutzen zu können, müssen Sie zunächst Zugriff auf das spezifische Amazon-Bedrock-Modell anfordern, das Sie verwenden möchten. Fügen Sie anschließend die erforderlichen AWS-IAM-Berechtigungen und eine Vertrauensbeziehung zu Amazon Bedrock zur Ausführungsrolle des Benutzers hinzu. Um der Rolle die Berechtigungen zu gewähren, können Sie eine der folgenden Methoden wählen:

  • Erstellen Sie eine neue Domain oder ein neues Benutzerprofil von Amazon SageMaker AI und aktivieren Sie die Amazon-Bedrock-Berechtigungen. Weitere Informationen finden Sie unter Erste Schritte bei der Verwendung von Amazon SageMaker Canvas.

  • Bearbeiten Sie die Einstellungen für eine bestehende Domain von Amazon SageMaker AI oder ein vorhandenes Benutzerprofil.

  • Fügen Sie manuell Berechtigungen und eine Vertrauensbeziehung zur IAM-Rolle einer Domain oder eines Benutzers hinzu.

Schritt 1: Amazon-Bedrock-Modellzugriff hinzufügen

Der Zugriff auf Amazon-Bedrock-Modelle wird standardmäßig nicht gewährt. Sie müssen daher die Amazon-Bedrock-Konsole aufrufen, um Zugriff auf Modelle für Ihr AWS-Konto anzufordern.

Um zu erfahren, wie Sie Zugriff auf ein bestimmtes Amazon-Bedrock Modell beantragen können, folgen Sie dem Verfahren unter Modellzugriff hinzufügen auf der Seite Zugriff auf Amazon-Bedrock-Grundlagenmodelle verwalten im Benutzerhandbuch für Amazon Bedrock.

Schritt 2: Berechtigungen für Benutzer in IAM-Rolle erteilen

Bei der Einrichtung Ihrer Domain oder Ihres Benutzerprofils von Amazon SageMaker AI muss die IAM-Ausführungsrolle des Benutzers die AmazonSageMakerCanvasBedrockAccess-Richtlinie sowie eine Vertrauensstellung mit Amazon Bedrock aufweisen, damit Ihr Benutzer von SageMaker Canvas aus auf Amazon-Bedrock-Modelle zugreifen kann.

Sie können die Domaineinstellungen ändern und entweder eine neue Ausführungsrolle erstellen (der SageMaker AI die erforderlichen Berechtigungen für Sie zuweist) oder eine bestehende Rolle angeben.

Alternativ können Sie die Berechtigungen für eine bestehende IAM-Rolle manuell über die IAM-Konsole ändern.

Beide Methoden werden in den folgenden Abschnitten erläutert.

Sie können Ihre Domain- oder Benutzerprofileinstellungen bearbeiten, um die Einstellung Konfiguration der Ready-to-Use-Modelle von Canvas zu aktivieren und eine Amazon-Bedrock-Rolle anzugeben.

Gehen Sie wie folgt vor, um Ihre Domaineinstellungen zu bearbeiten und Canvas-Benutzern in der Domain Zugriff auf Amazon-Bedrock-Modelle zu gewähren:

  1. Rufen Sie die SageMaker-AI-Konsole unter https://console.aws.amazon.com/sagemaker/ auf.

  2. Wählen Sie im linken Navigationsbereich die Option Domains aus.

  3. Wählen Sie aus der Liste der Domains Ihre Domain aus.

  4. Wechseln Sie zur Registerkarte App-Konfiguration.

  5. Klicken Sie im Abschnitt Canvas auf Bearbeiten.

  6. Die Seite Canvas-Einstellungen bearbeiten wird geöffnet. Gehen Sie im Abschnitt Konfiguration der einsatzbereiten Canvas-Modelle wie folgt vor:

    1. Aktivieren Sie die Option Ready-to-Use-Modelle von Canvas aktivieren.

    2. Wählen Sie für die Amazon-Bedrock-Rolle die Option Neue Ausführungsrolle erstellen und verwenden aus, um eine neue IAM-Ausführungsrolle zu erstellen, die die Richtlinie AmazonSageMakerCanvasBedrockAccess angefügt hat und eine Vertrauensbeziehung mit Amazon Bedrock unterhält. Diese IAM-Rolle wird von Amazon Bedrock übernommen, wenn Sie auf Amazon-Bedrock-Modelle zugreifen, die Chat-Funktion zur Datenvorbereitung verwenden oder Amazon-Bedrock-Modelle in Canvas optimieren. Wenn Sie bereits eine Ausführungsrolle mit einer Vertrauensbeziehung haben, wählen Sie Bestehende Ausführungsrolle verwenden und wählen Sie Ihre Rolle aus der Dropdown-Liste aus.

  7. Wählen Sie Absenden aus, um Ihre Änderungen zu speichern.

Ihre Benutzer sollten nun über die erforderlichen Berechtigungen verfügen, um auf Amazon-Bedrock-Modelle zuzugreifen, die Chat-Funktion für die Datenvorbereitung zu nutzen und Amazon-Bedrock-Modelle in Canvas zu optimieren.

Sie können das oben beschriebene Verfahren zum Bearbeiten der Einstellungen eines einzelnen Benutzers anwenden, indem Sie über die Domainseite zum Profil des einzelnen Benutzers navigieren und dort die Benutzereinstellungen bearbeiten. Einem einzelnen Benutzer gewährte Berechtigungen gelten nicht für andere Benutzer in der Domain, wohingegen Berechtigungen, die über die Domaineinstellungen gewährt wurden, für alle Benutzerprofile in der Domain gelten.

Weitere Informationen zur Bearbeitung Ihrer Domaineinstellungen finden Sie unter Domains anzeigen und bearbeiten.

Sie können Benutzern manuell Berechtigungen für den Zugriff auf und die Feinabstimmung von Amazon-Bedrock-Modellen in Canvas erteilen, indem Sie der für die Domain oder das Benutzerprofil angegebenen IAM-Rolle Berechtigungen hinzufügen. Der IAM-Rolle muss die Richtlinie AmazonSageMakerCanvasBedrockAccess angefügt sein und sie muss eine Vertrauensbeziehung mit Amazon Bedrock unterhalten.

Im folgenden Abschnitt erfahren Sie, wie Sie die Richtlinie Ihrer IAM-Rolle zuordnen und die Vertrauensbeziehung mit Amazon Bedrock aufbauen.

Notieren Sie sich zunächst die IAM-Rolle Ihrer Domain oder Ihres Benutzerprofils. Beachten Sie, dass Berechtigungen, die einem einzelnen Benutzer erteilt werden, nicht für andere Benutzer in der Domain gelten, während Berechtigungen, die über die Domain erteilt werden, für alle Benutzerprofile in der Domain gelten.

Gehen Sie wie folgt vor, um die IAM-Rolle zu konfigurieren und Berechtigungen zur Feinabstimmung von Grundlagenmodellen in Canvas zu erteilen:

  1. Rufen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/ auf.

  2. Wählen Sie im linken Navigationsbereich Roles aus.

  3. Suchen Sie in der Rollenliste anhand des Namens nach der IAM-Rolle des Benutzers und wählen Sie sie aus.

  4. Wählen Sie auf der Registerkarte Permissions die Option Add permissions. Wählen Sie aus dem Dropdown-Menü die Option Richtlinien anhängen.

  5. Suchen Sie nach der AmazonSageMakerCanvasBedrockAccess-Richtlinie und wählen Sie sie aus.

  6. Wählen Sie Berechtigungen hinzufügen aus.

  7. Wählen Sie zurück auf der Seite mit der IAM-Rolle die Registerkarte Vertrauensstellungen aus.

  8. Wählen Sie Vertrauensrichtlinie bearbeiten aus.

  9. Suchen Sie im Richtlinieneditor im rechten Bereich nach der Option Prinzipal hinzufügen und wählen Sie Hinzufügen aus.

  10. Wählen Sie im Dialogfeld für Prinzipaltyp die Option AWS-Services aus.

  11. Geben Sie für ARN bedrock.amazonaws.com ein.

  12. Wählen Sie Prinzipal hinzufügen aus.

  13. Wählen Sie Richtlinie aktualisieren.

Sie sollten jetzt über eine IAM-Rolle verfügen, die die Richtlinie AmazonSageMakerCanvasBedrockAccess angefügt sein und eine Vertrauensbeziehung mit Amazon Bedrock unterhält. Weitere Informationen zu von AWS verwalteten Richtlinien finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im IAM-Benutzerhandbuch.