本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 授予用户在 Canvas 中使用 Amazon Bedrock 和生成式人工智能功能的权限
Amazon C SageMaker anvas 中的生成式人工智能功能由 Amazon Bedrock 基础模型提供支持,这些模型是大型语言模型 (LLMs),能够理解和生成类似人类的文本。本页介绍如何授予 C SageMaker anvas 中以下功能所需的权限:
+ [与亚马逊 Bedrock 模型聊天和比较:通过 C](canvas-fm-chat.md) anvas 访问亚马逊 Bedrock 模特并开始对话聊天。 SageMaker
+ [使用 Data Wrangler 中的聊天功能进行数据准备](canvas-chat-for-data-prep.md):使用自然语言浏览、可视化和转换数据。此功能由 Anthropic Claude 2 提供支持。
+ [微调 Amazon Bedrock 基础模型](canvas-fm-chat-fine-tune.md):根据您自己的数据微调 Amazon Bedrock 基础模型,以接收自定义的响应。
要使用这些功能,您必须先申请访问您要使用的特定 Amazon Bedrock 模型。然后,将必要的 AWS IAM 权限以及与 Amazon Bedrock 的信任关系添加到用户的执行角色中。要授予角色权限,您可以选择以下方法之一:
+ 创建新的 Amazon SageMaker AI 域名或用户个人资料并开启亚马逊 Bedrock 权限。有关更多信息,请参阅 [开始使用 Amazon C SageMaker anvas](canvas-getting-started.md)。
+ 编辑现有 Amazon A SageMaker I 域名或用户个人资料的设置。
+ 手动向域或用户的 IAM 角色添加权限和信任关系。
## 步骤 1:添加 Amazon Bedrock 模型访问权限
默认情况下,不会授予访问亚马逊 Bedrock 模型的权限,因此您必须前往 Amazon Bedrock 控制台为您的 AWS 账户申请访问模型。
要了解如何请求访问特定的 Amazon Bedrock 模型,请按照**《Amazon Bedrock 用户指南》**中[管理对 Amazon Bedrock 基础模型的访问权限](https://docs.aws.amazon.com/bedrock/latest/userguide/model-access.html)页面上的*添加模型访问权限*的步骤进行操作。
## 步骤 2:向用户的 IAM 角色授予权限
在设置您的 Amazon A SageMaker I 域或用户个人资料时,用户的 IAM 执行角色必须附加[ AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html)策略以及与 Amazon Bedrock 的信任关系,以便您的用户可以从 SageMaker Canvas 访问亚马逊 Bedrock 模型。
您可以修改域设置,然后创建新的执行角色( SageMaker AI 会为您附加所需的权限),也可以指定现有角色。
或者,您也可以通过 IAM 控制台手动修改现有的 IAM 角色的权限。
以下部分中将介绍这两种方法。
### 通过域设置授予权限
您可以编辑您的域名或用户个人资料设置以打开 C **anvas Ready-to-use 模型配置**设置并指定 Amazon Bedrock 角色。
要编辑域设置并向域中的 Canvas 用户授予对 Amazon Bedrock 模型的访问权限,请执行以下操作:
1. 前往 SageMaker AI 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在左侧导航窗格中,选择 **域**。
1. 从域列表中选择您的域。
1. 选择**应用程序配置**选项卡。
1. 在 **Canvas** 部分中,选择**编辑**。
1. 此时将打开**编辑 Canvas 设置**页面。对于 **Canvas Ready-to-use 模型配置**部分,请执行以下操作:
1. 打开 “**启用画布 Ready-to-use模型” 选项**。
1. 对于 **Amazon Bedrock 角色**,选择**创建并使用新的执行角色**来创建新的 IAM 执行角色,该角色附有[ AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html)策略并与 Amazon Bedrock 建立信任关系。当您访问 Amazon Bedrock 模型、使用数据准备聊天功能或在 Canvas 中微调 Amazon Bedrock 模型时,此 IAM 角色将由 Amazon Bedrock 担任。如果您已经有一个具有信任关系的执行角色,请选择**使用现有的执行角色**,然后从下拉列表中选择您的角色。
1. 选择 **Submit (提交)** 可保存您的更改。
现在,您的用户应该拥有访问 Amazon Bedrock 模型、使用数据准备聊天功能以及在 Canvas 中微调 Amazon Bedrock 模型所需的权限。
您可以使用上述编辑单个用户设置的相同步骤,但要从域页面进入单个用户的配置文件,然后编辑用户设置。授予单个用户的权限不适用于域中的其他用户,而通过域设置授予的权限则适用于域中的所有用户配置文件。
有关编辑域设置的更多信息,请参阅[查看和编辑域](https://docs.aws.amazon.com/sagemaker/latest/dg/domain-view-edit.html)。
### 通过 IAM 手动授予权限
您可以通过为域或用户配置文件指定的 IAM 角色添加权限,手动授予用户在 Canvas 中访问和微调 Amazon Bedrock 模型的权限。IAM 角色必须附加[ AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html)政策并与 Amazon Bedrock 建立信任关系。
下一节将向您介绍如何将策略附加到 IAM 角色以及如何与 Amazon Bedrock 建立信任关系。
首先,请注意您的域或用户配置文件的 IAM 角色。请注意,授予单个用户的权限不适用于域中的其他用户,而通过域授予的权限则适用于域中的所有用户配置文件。
要配置 IAM 角色并授予在 Canvas 中微调基础模型的权限,请执行以下操作:
1. 前往 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在左侧导航窗格中,选择 **角色**。
1. 从角色列表中按名称搜索用户的 IAM 角色并将其选中。
1. 在**权限**选项卡中,请选择**添加权限**。从下拉菜单中选择**附加策略**。
1. 搜索 `AmazonSageMakerCanvasBedrockAccess` 策略并将其选中。
1. 选择**添加权限**。
1. 回到 IAM 角色页面,选择**信任关系**选项卡。
1. 选择**编辑信任策略**。
1. 在策略编辑器中,找到右侧面板中的**添加主体选项**,然后选择**添加**。
1. 在对话框中的**主体类型**中,选择 **AWS 服务**。
1. 在 **ARN** 中,输入 **bedrock.amazonaws.com**。
1. 选择**添加主体**。
1. 选择**更新策略**。
现在,您应该拥有一个附有[ AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html)策略的 IAM 角色并与 Amazon Bedrock 建立信任关系。有关 AWS 托管策略的信息,请参阅 *IAM 用户指南*中的[托管策略和内联策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。