翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Canvas で Amazon Bedrock と生成 AI 機能を使用する権限をユーザーに付与する
<a name="canvas-fine-tuning-permissions"></a>

Amazon SageMaker Canvas の生成 AI 機能は、人間のようなテキストを理解して生成できる大規模言語モデル (LLM) である Amazon Bedrock 基盤モデルを搭載しています。このページでは、SageMaker Canvas の以下の機能に必要なアクセス許可を付与する方法について説明します。
+ [Amazon Bedrock モデルとチャットして比較する](canvas-fm-chat.md): SageMaker Canvas を介して Amazon Bedrock モデルにアクセスし、会話チャットを開始します。
+ [Data Wrangler のデータ準備機能にチャットを使用する](canvas-chat-for-data-prep.md): 自然言語を使用してデータを探索、視覚化、変換します。この機能は Anthropic Claude 2 を搭載しています。
+ [Amazon Bedrock 基盤モデルをファインチューニングする](canvas-fm-chat-fine-tune.md): 独自のデータで Amazon Bedrock 基盤モデルをファインチューニングして、カスタマイズされたレスポンスを受け取ります。

これらの機能を使用するには、使用する特定の Amazon Bedrock モデルへのアクセスを最初にリクエストする必要があります。次に、必要な AWS IAM アクセス許可と Amazon Bedrock との信頼関係をユーザーの実行ロールに追加します。アクセス許可をロールに付与するには、次のいずれかの方法を選択します。
+ 新しい Amazon SageMaker AI ドメインまたはユーザープロファイルを作成し、Amazon Bedrock アクセス許可を有効にします。詳細については、「[Amazon SageMaker Canvas の開始方法](canvas-getting-started.md)」を参照してください。
+ 既存の Amazon SageMaker AI ドメインまたはユーザープロファイルの設定を編集します。
+ ドメインまたはユーザーの IAM ロールにアクセス許可と信頼関係を手動で追加します。

## ステップ 1: Amazon Bedrock モデルアクセスを追加する
<a name="canvas-bedrock-access"></a>

Amazon Bedrock モデルへのアクセスはデフォルトでは許可されないため、 AWS Amazon Bedrock コンソールにアクセスしてアカウントのモデルへのアクセスをリクエストする必要があります。

特定の Amazon Bedrock モデルへのアクセスをリクエストする方法については、*Amazon Bedrock ユーザーガイド*の「[Manage access to Amazon Bedrock foundation models](https://docs.aws.amazon.com/bedrock/latest/userguide/model-access.html)」ページに記載されている**モデルアクセスの追加**手順に従ってください。

## ステップ 2: ユーザーの IAM ロールにアクセス権限を付与する
<a name="canvas-bedrock-iam-permissions"></a>

Amazon SageMaker AI ドメインまたはユーザープロファイルを設定する場合、ユーザーが SageMaker Canvas から Amazon Bedrock モデルにアクセスできるように、ユーザーの IAM 実行ロールに [AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html) ポリシーと、Amazon Bedrock との信頼関係がアタッチされている必要があります。

ドメイン設定を変更して、新しい実行ロール (SageMaker AI が必要なアクセスを付与する先) を作成するか、既存のロールを指定することができます。

あるいは、IAM コンソールを使用して、既存の IAM ロールのアクセス許可を手動で変更できます。

これらのメソッドについては、後のセクションで説明します。

### ドメイン設定によってアクセス許可を付与する
<a name="canvas-fine-tuning-permissions-console"></a>

ドメインまたはユーザープロファイル設定を編集して、**[Canvas の Ready-to-use モデルの設定]** を有効にし、Amazon Bedrock ロールを指定できます。

ドメイン設定を編集し、ドメイン内の Canvas ユーザーに Amazon Bedrock モデルへのアクセスを許可するには、以下を実行します。

1. SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) に移動します。

1. 左側のナビゲーションペインで **[ドメイン]** を選択します。

1. ドメインのリストで、ドメインを選択します。

1. **[アプリケーション設定]** タブを選択します。

1. **[Canvas]** セクションで、**[編集]** を選択します。

1. **[Canvas の設定を編集]** ページが開きます。**[Canvas の Ready-to-use モデルの設定]** セクションでは、以下を実行します。

   1. **[Canvas の Ready-to-use モデル オプションを有効にする]** をオンにします。

   1. **[Amazon Bedrock ロール]** では、**[新しい実行ロールの作成および使用]** を選択し、[AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html) ポリシーがアタッチされており、Amazon Bedrock との信頼関係を持つ新しい IAM 実行ロールを作成します。この IAM ロールは、Amazon Bedrock モデルにアクセスするとき、データ準備機能にチャットを使用するとき、または Canvas で Amazon Bedrock モデルをファインチューニングするときに、Amazon Bedrock によって引き受けられます。信頼関係を持つ実行ロールが既にある場合は、**[既存の実行ロールを使用する]** を選択し、ドロップダウンからロールを選択します。

1. **[送信]** を選択して変更を保存します。

これで、Amazon Bedrock モデルにアクセスし、データ準備機能にチャットを使用して、Canvas で Amazon Bedrock モデルをファインチューニングするために必要なアクセス許可がユーザーに付与されました。

個々のユーザーの設定は、上記の同じ手順を使用して編集できます。ただし、ドメインページから個々のユーザーのプロファイルに移動することはできません。代わりにユーザー設定を編集してください。個々のユーザーに付与されたアクセス許可はドメイン内の他のユーザーには適用されませんが、ドメイン設定を通じて付与されたアクセス許可はドメイン内のすべてのユーザープロファイルに適用されます。

ドメイン設定の編集の詳細については、「[View and Edit domains](https://docs.aws.amazon.com/sagemaker/latest/dg/domain-view-edit.html)」を参照してください。

### IAM 経由で手動でアクセス許可を付与する
<a name="canvas-fine-tuning-permissions-manual"></a>

Canvas で Amazon Bedrock モデルにアクセスしてファインチューニングする権限をユーザーに手動で付与するには、ドメインまたはユーザーのプロファイルに指定されている IAM ロールに権限を追加します。IAM ロールには [AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html) ポリシーがアタッチされている必要があり、Amazon Bedrock との信頼関係も必要です。

次のセクションでは、ポリシーを IAM ロールにアタッチし、Amazon Bedrock との信頼関係を作成する方法を示します。

まず、ドメインまたはユーザープロファイルの IAM ロールを書き留めます。個々のユーザーに付与された権限はドメイン内の他のユーザーには適用されず、ドメインを通じて付与された権限はドメイン内のすべてのユーザープロファイルに適用されることに注意してください。

Canvas で基盤モデルをファインチューニングするための IAM ロールを設定し、アクセス許可を付与するには、以下を実行します。

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) に移動します。

1. 左のナビゲーションペインで、**[ロール]** を選択してください。

1. ロールのリストからユーザーの IAM ロールを名前で検索して選択します。

1. **権限**タブで、**権限を追加する**を選択します。ドロップダウンメニューで、**[ポリシーをアタッチ]** を選択します。

1. `AmazonSageMakerCanvasBedrockAccess` ポリシーを検索して選択します。

1. **[許可を追加]** を選択します。

1. IAM ロールのページに戻り、**[信頼関係]** タブを選択します。

1. **[Edit trust policy]** (信頼ポリシーを編集) を選択します。

1. ポリシーエディタの右側のパネルで、**[プリンシパルオプションを追加]** を見つけ、 **[追加]** を選択します。

1. ダイアログボックスの **[プリンシパルタイプ]** で、**[AWS のサービス]** を選択します。

1. **[ARN]** には、「**bedrock.amazonaws.com**」と入力します。

1. **[プリンシパルを追加]** を選択します。

1. [**ポリシーの更新**] を選択してください。

これで、[AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html) ポリシーがアタッチされ、Amazon Bedrock との信頼関係を持つ IAM ロールが準備されました。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の[「管理ポリシーとインラインポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)」を参照してください。