Autoriser les utilisateurs à utiliser Amazon Bedrock et les fonctionnalités d'IA générative dans Canvas - Amazon SageMaker AI
Étape 1 : Ajouter l'accès au modèle Amazon BedrockÉtape 2 : accorder des autorisations au rôle IAM de l'utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autoriser les utilisateurs à utiliser Amazon Bedrock et les fonctionnalités d'IA générative dans Canvas

Les fonctionnalités d'intelligence artificielle génératives d'Amazon SageMaker Canvas sont basées sur les modèles Amazon Bedrock Foundation, qui sont de grands modèles linguistiques (LLMs) capables de comprendre et de générer du texte de type humain. Cette page explique comment accorder les autorisations nécessaires pour les fonctionnalités suivantes dans SageMaker Canvas :

Pour utiliser ces fonctionnalités, vous devez d'abord demander l'accès au modèle Amazon Bedrock spécifique que vous souhaitez utiliser. Ajoutez ensuite les autorisations AWS IAM nécessaires et une relation de confiance avec Amazon Bedrock au rôle d'exécution de l'utilisateur. Pour accorder les autorisations au rôle, vous pouvez choisir l'une des méthodes suivantes :

  • Créez un nouveau domaine ou profil utilisateur Amazon SageMaker AI et activez les autorisations Amazon Bedrock. Pour de plus amples informations, veuillez consulter Commencer à utiliser Amazon SageMaker Canvas.

  • Modifiez les paramètres d'un domaine ou d'un profil utilisateur Amazon SageMaker AI existant.

  • Ajoutez manuellement des autorisations et une relation de confiance au rôle IAM d'un domaine ou d'un utilisateur.

Étape 1 : Ajouter l'accès au modèle Amazon Bedrock

L'accès aux modèles Amazon Bedrock n'est pas accordé par défaut. Vous devez donc accéder à la console Amazon Bedrock pour demander l'accès aux modèles pour votre AWS compte.

Pour savoir comment demander l'accès à un modèle Amazon Bedrock spécifique, suivez la procédure d'ajout d'un accès au modèle sur la page Gérer l'accès aux modèles de fondation Amazon Bedrock dans le guide de l'utilisateur d'Amazon Bedrock.

Étape 2 : accorder des autorisations au rôle IAM de l'utilisateur

Lorsque vous configurez votre domaine ou profil utilisateur Amazon SageMaker AI, le rôle d'exécution IAM de l'utilisateur doit être associé à la AmazonSageMakerCanvasBedrockAccesspolitique, ainsi qu'une relation de confiance avec Amazon Bedrock, afin que votre utilisateur puisse accéder aux modèles Amazon Bedrock depuis Canvas. SageMaker

Vous pouvez modifier les paramètres du domaine et soit créer un nouveau rôle d'exécution (auquel SageMaker AI attache les autorisations requises pour vous), soit spécifier un rôle existant.

Vous pouvez également modifier manuellement les autorisations pour un rôle IAM existant via la console IAM.

Les deux méthodes sont décrites dans les sections suivantes.

Vous pouvez modifier les paramètres de votre domaine ou de votre profil utilisateur pour activer le paramètre de configuration Ready-to-use des modèles Canvas et spécifier un rôle Amazon Bedrock.

Pour modifier les paramètres de votre domaine et accorder l'accès aux modèles Amazon Bedrock aux utilisateurs de Canvas du domaine, procédez comme suit :

  1. Accédez à la console SageMaker AI à l'adresse https://console.aws.amazon.com/sagemaker/.

  2. Dans le volet de navigation de gauche, choisissez Domains (Domaines).

  3. Dans la liste des domaines, choisissez votre domaine.

  4. Choisissez l'onglet Configurations de l'application.

  5. Dans la section Canvas, choisissez Modifier.

  6. La page Modifier les paramètres du canevas s'ouvre. Pour la section de configuration Ready-to-use des modèles Canvas, procédez comme suit :

    1. Activez l'option Activer les Ready-to-use modèles Canvas.

    2. Pour le rôle Amazon Bedrock, sélectionnez Créer et utilisez un nouveau rôle d'exécution pour créer un nouveau rôle d'exécution IAM associé à la AmazonSageMakerCanvasBedrockAccesspolitique et établissant une relation de confiance avec Amazon Bedrock. Ce rôle IAM est assumé par Amazon Bedrock lorsque vous accédez aux modèles Amazon Bedrock, que vous utilisez le chat pour la fonction de préparation des données ou que vous affinez les modèles Amazon Bedrock dans Canvas. Si vous avez déjà un rôle d'exécution avec une relation de confiance, sélectionnez Utiliser un rôle d'exécution existant et choisissez votre rôle dans la liste déroulante.

  7. Choisissez Soumettre pour enregistrer vos modifications.

Vos utilisateurs doivent désormais disposer des autorisations nécessaires pour accéder aux modèles Amazon Bedrock, utiliser le chat pour la fonction de préparation des données et peaufiner les modèles Amazon Bedrock dans Canvas.

Vous pouvez utiliser la même procédure ci-dessus pour modifier les paramètres d'un utilisateur individuel, sauf en accédant au profil de l'utilisateur individuel depuis la page du domaine et en modifiant les paramètres utilisateur à la place. Les autorisations accordées à un utilisateur individuel ne s'appliquent pas aux autres utilisateurs du domaine, tandis que les autorisations accordées via les paramètres du domaine s'appliquent à tous les profils utilisateur du domaine.

Pour plus d'informations sur la modification des paramètres de votre domaine, voir Afficher et modifier les domaines.

Vous pouvez accorder manuellement aux utilisateurs les autorisations nécessaires pour accéder aux modèles Amazon Bedrock et les affiner dans Canvas en ajoutant des autorisations au rôle IAM spécifié pour le domaine ou le profil de l'utilisateur. Le rôle IAM doit être associé à la AmazonSageMakerCanvasBedrockAccesspolitique et établir une relation de confiance avec Amazon Bedrock.

La section suivante explique comment associer la politique à votre rôle IAM et créer une relation de confiance avec Amazon Bedrock.

Tout d'abord, prenez note du rôle IAM de votre domaine ou de votre profil utilisateur. Notez que les autorisations accordées à un utilisateur individuel ne s'appliquent pas aux autres utilisateurs du domaine, tandis que les autorisations accordées via le domaine s'appliquent à tous les profils utilisateur du domaine.

Pour configurer le rôle IAM et accorder les autorisations nécessaires pour affiner les modèles de base dans Canvas, procédez comme suit :

  1. Accédez à la console IAM à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le volet de navigation de gauche, choisissez Rôles.

  3. Recherchez le rôle IAM de l'utilisateur par son nom dans la liste des rôles et sélectionnez-le.

  4. Sous l'onglet Autorisations, sélectionnez Ajouter des autorisations. Choisissez Attacher des politiques dans le menu déroulant.

  5. Recherchez la AmazonSageMakerCanvasBedrockAccess politique et sélectionnez-la.

  6. Choisissez Ajouter des autorisations.

  7. De retour sur la page du rôle IAM, cliquez sur l'onglet Relations de confiance.

  8. Choisissez Edit trust policy (Modifier la politique d’approbation).

  9. Dans l'éditeur de politiques, recherchez l'option Ajouter un principal dans le panneau de droite et choisissez Ajouter.

  10. Dans la boîte de dialogue, pour Type principal, sélectionnez AWS services.

  11. Pour ARN, entrezbedrock.amazonaws.com.

  12. Choisissez Ajouter un principal.

  13. Choisissez Mettre à jour une politique.

Vous devriez désormais disposer d'un rôle IAM associé à la AmazonSageMakerCanvasBedrockAccesspolitique et d'une relation de confiance avec Amazon Bedrock. Pour plus d'informations sur les politiques AWS gérées, voir Politiques gérées et politiques intégrées dans le guide de l'utilisateur IAM.