Octroi d’autorisations aux utilisateurs pour utiliser Amazon Bedrock et les fonctionnalités d’IA générative dans Canvas - Amazon SageMaker AI
Étape 1 : Ajout d’un accès aux modèles Amazon BedrockÉtape 2 : Octroi d’autorisations au rôle IAM de l’utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Octroi d’autorisations aux utilisateurs pour utiliser Amazon Bedrock et les fonctionnalités d’IA générative dans Canvas

Les fonctionnalités d'intelligence artificielle génératives d'Amazon SageMaker Canvas sont basées sur les modèles Amazon Bedrock Foundation, qui sont de grands modèles linguistiques (LLMs) capables de comprendre et de générer du texte de type humain. Cette page explique comment accorder les autorisations nécessaires pour les fonctionnalités suivantes dans SageMaker Canvas :

Pour pouvoir utiliser ces fonctionnalités, vous devez d’abord demander l’accès au modèle Amazon Bedrock spécifique que vous souhaitez utiliser. Ajoutez ensuite les autorisations AWS IAM nécessaires et une relation de confiance avec Amazon Bedrock au rôle d'exécution de l'utilisateur. Pour accorder les autorisations au rôle, vous pouvez choisir l’une des méthodes suivantes :

  • Créez un nouveau domaine ou profil utilisateur Amazon SageMaker AI et activez les autorisations Amazon Bedrock. Pour de plus amples informations, veuillez consulter Commencer à utiliser Amazon SageMaker Canvas.

  • Modifiez les paramètres d'un domaine ou d'un profil utilisateur Amazon SageMaker AI existant.

  • Ajouter manuellement des autorisations et une relation d’approbation au rôle IAM d’un domaine ou d’un utilisateur.

Étape 1 : Ajout d’un accès aux modèles Amazon Bedrock

L'accès aux modèles Amazon Bedrock n'est pas accordé par défaut. Vous devez donc accéder à la console Amazon Bedrock pour demander l'accès aux modèles pour votre AWS compte.

Pour savoir comment demander l’accès à un modèle Amazon Bedrock spécifique, suivez la procédure d’ajout d’un accès au modèle sur la page Gestion de l’accès aux modèles de fondation Amazon Bedrock dans le Guide de l’utilisateur Amazon Bedrock.

Étape 2 : Octroi d’autorisations au rôle IAM de l’utilisateur

Lorsque vous configurez votre domaine ou profil utilisateur Amazon SageMaker AI, le rôle d'exécution IAM de l'utilisateur doit être associé à la AmazonSageMakerCanvasBedrockAccesspolitique, ainsi qu'une relation de confiance avec Amazon Bedrock, afin que votre utilisateur puisse accéder aux modèles Amazon Bedrock depuis Canvas. SageMaker

Vous pouvez modifier les paramètres du domaine et soit créer un nouveau rôle d'exécution (auquel SageMaker AI attache les autorisations requises pour vous), soit spécifier un rôle existant.

Vous pouvez également modifier manuellement les autorisations pour un rôle IAM existant via la console IAM.

Les deux méthodes sont décrites dans les sections suivantes.

Vous pouvez modifier les paramètres de votre domaine ou de votre profil utilisateur pour activer le paramètre de configuration Ready-to-use des modèles Canvas et spécifier un rôle Amazon Bedrock.

Pour modifier les paramètres de votre domaine et accorder l’accès aux modèles Amazon Bedrock aux utilisateurs de Canvas dans le domaine, procédez comme suit :

  1. Accédez à la console SageMaker AI à l'adresse https://console.aws.amazon.com/sagemaker/.

  2. Dans le volet de navigation de gauche, choisissez Domaines.

  3. Dans la liste des domaines, choisissez votre domaine.

  4. Choisissez l’onglet Configurations des applications.

  5. Dans la section Canvas, choisissez Modifier.

  6. La page Modifier les paramètres de Canvas s’ouvre. Pour la section de configuration Ready-to-use des modèles Canvas, procédez comme suit :

    1. Activez l'option Activer les Ready-to-use modèles Canvas.

    2. Pour le rôle Amazon Bedrock, sélectionnez Créer et utilisez un nouveau rôle d'exécution pour créer un nouveau rôle d'exécution IAM associé à la AmazonSageMakerCanvasBedrockAccesspolitique et établissant une relation de confiance avec Amazon Bedrock. Ce rôle IAM est assumé par Amazon Bedrock lorsque vous accédez aux modèles Amazon Bedrock, utilisez la fonctionnalité de chat pour la préparation des données ou optimisez les modèles Amazon Bedrock dans Canvas. Si vous avez déjà un rôle d’exécution avec une relation d’approbation, sélectionnez Utiliser un rôle d’exécution existant et choisissez votre rôle dans la liste déroulante.

  7. Choisissez Soumettre pour enregistrer vos modifications.

Vos utilisateurs doivent désormais disposer des autorisations nécessaires pour accéder aux modèles Amazon Bedrock, utiliser la fonctionnalité de chat pour la préparation des données et optimiser les modèles Amazon Bedrock dans Canvas.

Vous pouvez utiliser la procédure ci-dessus pour modifier les paramètres d’un utilisateur individuel, à moins que vous préfériez accéder au profil de l’utilisateur individuel depuis la page du domaine et modifier les paramètres de l’utilisateur. Les autorisations accordées à un utilisateur individuel ne s’appliquent pas aux autres utilisateurs du domaine, tandis que les autorisations accordées via les paramètres du domaine s’appliquent à tous les profils utilisateur du domaine.

Pour plus d’informations sur la modification des paramètres de votre domaine, consultez Visualisation et modification des domaines.

Vous pouvez accorder manuellement aux utilisateurs les autorisations requises pour accéder aux modèles Amazon Bedrock et les optimiser dans Canvas en ajoutant ces autorisations au rôle IAM spécifié pour le domaine ou le profil de l’utilisateur. Le rôle IAM doit être associé à la AmazonSageMakerCanvasBedrockAccesspolitique et établir une relation de confiance avec Amazon Bedrock.

La section suivante vous montre comment attacher la politique à votre rôle IAM et créer la relation d’approbation avec Amazon Bedrock.

Tout d’abord, prenez note du rôle IAM de votre domaine ou de votre profil utilisateur. Notez que les autorisations accordées à un utilisateur individuel ne s’appliquent pas aux autres utilisateurs du domaine, tandis que les autorisations accordées via le domaine s’appliquent à tous les profils utilisateur du domaine.

Pour configurer le rôle IAM et accorder les autorisations nécessaires pour optimiser les modèles de fondation dans Canvas, procédez comme suit :

  1. Accédez à la console IAM à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le volet de navigation de gauche, choisissez Rôles.

  3. Recherchez le rôle IAM de l’utilisateur par son nom dans la liste des rôles et sélectionnez-le.

  4. Sous l’onglet Autorisations, sélectionnez Ajouter des autorisations. Choisissez Attacher des politiques dans le menu déroulant.

  5. Recherchez la politique AmazonSageMakerCanvasBedrockAccess et sélectionnez-la.

  6. Choisissez Ajouter des autorisations.

  7. De retour sur la page du rôle IAM, choisissez l’onglet Relations d’approbation.

  8. Choisissez Modifier la politique d’approbation.

  9. Dans l’éditeur de politique, recherchez l’option Ajouter un principal dans le panneau de droite et choisissez Ajouter.

  10. Dans la boîte de dialogue, pour Type de principal, sélectionnez Services AWS.

  11. Pour ARN, entrez bedrock.amazonaws.com.

  12. Choisissez Ajouter un principal.

  13. Choisissez Mettre à jour une politique.

Vous devriez désormais disposer d'un rôle IAM associé à la AmazonSageMakerCanvasBedrockAccesspolitique et d'une relation de confiance avec Amazon Bedrock. Pour plus d'informations sur les politiques AWS gérées, voir Politiques gérées et politiques intégrées dans le guide de l'utilisateur IAM.