本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 授予使用者在 Canvas 中使用 Amazon Bedrock 和生成式 AI 功能的許可
Amazon SageMaker Canvas 中的生成式 AI 功能採用 Amazon Bedrock 基礎模型技術,這些模型是大型語言模型 (LLM),能夠了解和產生類似人類的文字。此頁面描述如何授予 SageMaker Canvas 中下列功能所需的許可:
+ [與 Amazon Bedrock 模型聊天並進行比較](canvas-fm-chat.md):透過 SageMaker Canvas 存取 Amazon Bedrock 模型並開始與其對話聊天。
+ [使用 Data Wrangler 中的聊天功能進行資料準備](canvas-chat-for-data-prep.md):使用自然語言來探索、視覺化和轉換您的資料。此功能採用 Anthropic Claude 2 技術。
+ [微調 Amazon Bedrock 基礎模型](canvas-fm-chat-fine-tune.md):根據您自己的資料微調 Amazon Bedrock 基礎模型,以接收自訂回應。
若要使用這些功能,您必須先請求存取您想要使用的特定 Amazon Bedrock 模型。然後,將必要的 AWS IAM 許可和與 Amazon Bedrock 的信任關係新增至使用者的執行角色。若要將許可授予角色,您可以選擇下列其中一種方法:
+ 建立新的 Amazon SageMaker AI 網域或使用者設定檔,並開啟 Amazon Bedrock 許可。如需詳細資訊,請參閱[Amazon Sagemaker Canvas 使用入門](canvas-getting-started.md)。
+ 編輯現有 Amazon SageMaker AI 網域或使用者設定檔的設定。
+ 手動將許可和信任關係新增至網域或使用者的 IAM 角色。
## 步驟 1:新增 Amazon Bedrock 模型存取
預設不會授予 Amazon Bedrock 模型的存取權,因此您必須前往 Amazon Bedrock 主控台,請求存取您 AWS 帳戶的模型。
若要了解如何請求存取特定 Amazon Bedrock 模型,請在《Amazon Bedrock 使用者指南》**中的頁面[管理對 Amazon Bedrock 基礎模型的存取](https://docs.aws.amazon.com/bedrock/latest/userguide/model-access.html)上遵循程序來**新增模型存取**。
## 步驟 2:將許可授予使用者的 IAM 角色
設定 Amazon SageMaker AI 網域或使用者設定檔時,使用者的 IAM 執行角色必須連接 [AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html) 政策,以及與 Amazon Bedrock 具有信任關係,以便您的使用者可以從 SageMaker Canvas 存取 Amazon Bedrock 模型。
您可以修改網域設定,並建立新的執行角色 (SageMaker AI 會為您將所需的許可連接至其中) 或指定現有的角色。
或者,您可以透過 IAM 主控台手動修改現有 IAM 角色的許可。
兩種方法如下節所述。
### 透過網域設定授予許可
您可以編輯網域或使用者設定檔設定,以開啟 **Canvas 即用型模型組態**設定,並指定 Amazon Bedrock 角色。
若要編輯網域設定並授予網域中 Canvas 使用者存取 Amazon Bedrock 模型的權限,請執行下列動作:
1. 前往位在 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/) 的 SageMaker AI 主控台。
1. 在左側導覽窗格中選擇 **Domains** (網域)。
1. 從網域清單中選擇您的網域。
1. 選擇**應用程式組態**索引標籤。
1. 在 **Canvas** 區段中,選擇**編輯**。
1. **編輯 Canvas 設定**頁面隨即開啟。(選用) 針對 **Canvas 即用型模型組態**區段,請執行下列動作:
1. 開啟**啟用 Canvas 即用型模型選項**。
1. 針對 **Amazon Bedrock 角色**,選取**建立並使用新的執行角色**來建立新的 IAM 執行角色,該角色已連接 [AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html) 政策,並與 Amazon Bedrock 具有信任關係。當您存取 Amazon Bedrock 模型、使用聊天進行資料準備功能,或在 Canvas 中微調 Amazon Bedrock 模型時,Amazon Bedrock 會擔任此 IAM 角色。如果您已有具有信任關係的執行角色,請選取**使用現有的執行角色**,然後從下拉式清單中選擇您的角色。
1. 選擇**提交**來儲存您的變更。
您的使用者現在應具備存取 Amazon Bedrock 模型、使用聊天進行資料準備功能,以及在 Canvas 中微調 Amazon Bedrock 模型所需的許可。
您可以使用上述相同程序來編輯個別使用者的設定,但要從網域頁面進入個別使用者的設定檔,並改為編輯使用者設定。授予個別使用者的許可不適用於網域中的其他使用者,而透過網域設定授予的許可則適用於網域中的所有使用者設定檔。
如需如何編輯網域設定的指示,請參閱[檢視和編輯網域](https://docs.aws.amazon.com/sagemaker/latest/dg/domain-view-edit.html)。
### 透過 IAM 手動授予許可
您可以手動授予使用者存取和微調 Canvas 中 Amazon Bedrock 模型的許可,方法是將許可新增至為網域或使用者設定檔指定的 IAM 角色。IAM 角色必須連接 [AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html) 政策,並與 Amazon Bedrock 具有信任關係。
下節說明如何將政策連接至您的 IAM 角色,並與 Amazon Bedrock 建立信任關係。
首先,記下您網域或使用者設定檔的 IAM 角色。請注意,授予個別使用者的許可不適用於網域中的其他使用者,而透過網域授予的許可則適用於網域中的所有使用者設定檔。
若要設定 IAM 角色並授予在 Canvas 中微調基礎模型的許可,請執行下列動作:
1. 移至 IAM 主控台 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在左側導覽窗格中,選擇 **Roles** (角色)。
1. 從角色清單中依名稱搜尋使用者的 IAM 角色,然後加以選取。
1. 在 **Permissions (許可)** 標籤上,選擇 **Add permissions (新增許可)**。在下拉式清單中,選擇**連接政策**。
1. 搜尋 `AmazonSageMakerCanvasBedrockAccess` 策略並將其選取。
1. 選擇**新增許可**。
1. 回到 IAM 角色的頁面,選擇**信任關係**索引標籤。
1. 選擇**編輯信任政策**。
1. 在政策編輯器中,尋找右側面板中的**新增主體選項**,然後選擇**新增**。
1. 在對話方塊中,針對**主體類型**,選取**AWS 服務**。
1. 針對 **ARN**,輸入 **bedrock.amazonaws.com**。
1. 選擇**新增主體**。
1. 選擇**更新政策**。
您現在應有一個 IAM 角色,連接 [AmazonSageMakerCanvasBedrockAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCanvasBedrockAccess.html) 政策並與 Amazon Bedrock 具有信任關係。如需有關 AWS 受管政策的資訊,請參閱《*IAM 使用者指南*》中的 [受管政策和內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。