Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Configuración de Amazon Bedrock Marketplace Puede utilizar la [política de acceso completo de Amazon Bedrock](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockFullAccess.html) para conceder permisos a la SageMaker IA. Le recomendamos que utilice la política administrada, pero si no puede utilizarla, asegúrese de que su rol de IAM tenga los siguientes permisos. La siguiente es una política personalizada recomendada para Amazon Bedrock Marketplace. Para ver la versión más reciente de la política gestionada de Amazon Bedrock Full Access, consulte [AmazonBedrockFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockFullAccess.html). ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "BedrockAll", "Effect": "Allow", "Action": [ "bedrock:*" ], "Resource": "*" }, { "Sid": "DescribeKey", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:*:kms:*:::*" }, { "Sid": "APIsWithAllResourceAccess", "Effect": "Allow", "Action": [ "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "MarketplaceModelEndpointMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:DeleteEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:*:sagemaker:*:*:endpoint/*", "arn:*:sagemaker:*:*:endpoint-config/*", "arn:*:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "BedrockEndpointTaggingOperations", "Effect": "Allow", "Action": [ "sagemaker:AddTags", "sagemaker:DeleteTags" ], "Resource": [ "arn:*:sagemaker:*:*:endpoint/*", "arn:*:sagemaker:*:*:endpoint-config/*", "arn:*:sagemaker:*:*:model/*" ] }, { "Sid": "MarketplaceModelEndpointNonMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeInferenceComponent", "sagemaker:ListEndpoints", "sagemaker:ListTags" ], "Resource": [ "arn:*:sagemaker:*:*:endpoint/*", "arn:*:sagemaker:*:*:endpoint-config/*", "arn:*:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "BedrockEndpointInvokingOperations", "Effect": "Allow", "Action": [ "sagemaker:InvokeEndpoint", "sagemaker:InvokeEndpointWithResponseStream" ], "Resource": [ "arn:*:sagemaker:*:*:endpoint/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "DiscoveringMarketplaceModel", "Effect": "Allow", "Action": [ "sagemaker:DescribeHubContent" ], "Resource": [ "arn:*:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*", "arn:*:sagemaker:*:aws:hub/SageMakerPublicHub" ] }, { "Sid": "AllowMarketplaceModelsListing", "Effect": "Allow", "Action": [ "sagemaker:ListHubContents" ], "Resource": "arn:*:sagemaker:*:aws:hub/SageMakerPublicHub" }, { "Sid": "RetrieveSubscribedMarketplaceLicenses", "Effect": "Allow", "Action": [ "license-manager:ListReceivedLicenses" ], "Resource": [ "*" ] }, { "Sid": "PassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:*:iam::*:role/*Sagemaker*ForBedrock*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "bedrock.amazonaws.com" ] } } }, { "Sid": "PassRoleToBedrock", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:*:iam::*:role/*AmazonBedrock*", "Condition": { "StringEquals": { "iam:PassedToService": [ "bedrock.amazonaws.com" ] } } } ] } ``` **importante** La política de acceso completo de Amazon Bedrock solo proporciona permisos a la API de Amazon Bedrock. Para utilizar Amazon Bedrock en Consola de administración de AWS, su función de IAM también debe tener los siguientes permisos: ``` { "Sid": "AllowConsoleS3AccessForBedrockMarketplace", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetBucketCORS", "s3:ListBucket", "s3:ListBucketVersions", "s3:GetBucketLocation" ], "Resource": "*" } ``` Si está redactando su propia política, debe incluir la instrucción de la política que permita la acción de Amazon Bedrock Marketplace para el recurso. Por ejemplo, la siguiente política permite a Amazon Bedrock utilizar la operación `InvokeModel` para un modelo que haya implementado en un punto de conexión. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "BedrockAll", "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:{{us-east-1}}:{{111122223333}}:marketplace/model-endpoint/all-access" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": ["sagemaker:InvokeEndpoint"], "Resource": "arn:aws:sagemaker:{{us-east-1}}:{{111122223333}}:endpoint/*", "Condition": { "StringEquals": { "aws:ResourceTag/project": "{{example-project-id}}", "aws:CalledViaLast": "bedrock.amazonaws.com" } } } ] } ``` ------ Para obtener más información sobre cómo configurar Amazon Bedrock, consulte [Inicio rápido](getting-started.md). Es posible que desee utilizar una AWS Key Management Service clave para cifrar el punto final en el que ha implementado el modelo. Debe modificar la política anterior para disponer de permisos para utilizar la clave de AWS KMS . La AWS KMS clave también debe tener permisos para cifrar el punto final. Debe modificar la política de recursos de AWS KMS para cifrar el punto de conexión. Para obtener más información sobre la modificación de la política, consulte [Uso de políticas de IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies) con. AWS Key Management Service AWS KMS La clave también debe tener `CreateGrant` permisos. Es siguiente es un ejemplo de los permisos que debe haber en la política de claves. ``` { "Sid": "Allow access for AmazonSageMaker-ExecutionRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/{{SagemakerExecutionRole}}" }, "Action": "kms:CreateGrant", "Resource": "*" } ``` Para obtener más información sobre cómo proporcionar permisos de creación de permisos, consulta [Cómo conceder CreateGrant permisos](https://docs.aws.amazon.com/kms/latest/developerguide/create-grant-overview.html#grant-creategrant).