As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Configurar o Amazon Bedrock Marketplace Você pode usar a [política de acesso total do Amazon Bedrock](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockFullAccess.html) para fornecer permissões à SageMaker IA. Recomendamos usar a política gerenciada, mas, se você não puder usá-la, seu perfil do IAM deverá ter as permissões a seguir. A seguir está uma política personalizada recomendada para o Amazon Bedrock Marketplace. Para obter a versão mais recente da política gerenciada Amazon Bedrock Full Access, consulte [AmazonBedrockFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockFullAccess.html). ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "BedrockAll", "Effect": "Allow", "Action": [ "bedrock:*" ], "Resource": "*" }, { "Sid": "DescribeKey", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:*:kms:*:::*" }, { "Sid": "APIsWithAllResourceAccess", "Effect": "Allow", "Action": [ "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "MarketplaceModelEndpointMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:DeleteEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:*:sagemaker:*:*:endpoint/*", "arn:*:sagemaker:*:*:endpoint-config/*", "arn:*:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "BedrockEndpointTaggingOperations", "Effect": "Allow", "Action": [ "sagemaker:AddTags", "sagemaker:DeleteTags" ], "Resource": [ "arn:*:sagemaker:*:*:endpoint/*", "arn:*:sagemaker:*:*:endpoint-config/*", "arn:*:sagemaker:*:*:model/*" ] }, { "Sid": "MarketplaceModelEndpointNonMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeInferenceComponent", "sagemaker:ListEndpoints", "sagemaker:ListTags" ], "Resource": [ "arn:*:sagemaker:*:*:endpoint/*", "arn:*:sagemaker:*:*:endpoint-config/*", "arn:*:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "BedrockEndpointInvokingOperations", "Effect": "Allow", "Action": [ "sagemaker:InvokeEndpoint", "sagemaker:InvokeEndpointWithResponseStream" ], "Resource": [ "arn:*:sagemaker:*:*:endpoint/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "DiscoveringMarketplaceModel", "Effect": "Allow", "Action": [ "sagemaker:DescribeHubContent" ], "Resource": [ "arn:*:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*", "arn:*:sagemaker:*:aws:hub/SageMakerPublicHub" ] }, { "Sid": "AllowMarketplaceModelsListing", "Effect": "Allow", "Action": [ "sagemaker:ListHubContents" ], "Resource": "arn:*:sagemaker:*:aws:hub/SageMakerPublicHub" }, { "Sid": "RetrieveSubscribedMarketplaceLicenses", "Effect": "Allow", "Action": [ "license-manager:ListReceivedLicenses" ], "Resource": [ "*" ] }, { "Sid": "PassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:*:iam::*:role/*Sagemaker*ForBedrock*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "bedrock.amazonaws.com" ] } } }, { "Sid": "PassRoleToBedrock", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:*:iam::*:role/*AmazonBedrock*", "Condition": { "StringEquals": { "iam:PassedToService": [ "bedrock.amazonaws.com" ] } } } ] } ``` **Importante** A política de acesso total do Amazon Bedrock oferece permissões somente para a API do Amazon Bedrock. Para usar o Amazon Bedrock no Console de gerenciamento da AWS, sua função do IAM também deve ter as seguintes permissões: ``` { "Sid": "AllowConsoleS3AccessForBedrockMarketplace", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetBucketCORS", "s3:ListBucket", "s3:ListBucketVersions", "s3:GetBucketLocation" ], "Resource": "*" } ``` Se estiver escrevendo sua própria política, você deverá incluir uma declaração de política que permita a ação do Amazon Bedrock Marketplace para o recurso. Por exemplo, a política a seguir permite que o Amazon Bedrock use a operação `InvokeModel` para um modelo que você implantou em um endpoint. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "BedrockAll", "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:{{us-east-1}}:{{111122223333}}:marketplace/model-endpoint/all-access" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": ["sagemaker:InvokeEndpoint"], "Resource": "arn:aws:sagemaker:{{us-east-1}}:{{111122223333}}:endpoint/*", "Condition": { "StringEquals": { "aws:ResourceTag/project": "{{example-project-id}}", "aws:CalledViaLast": "bedrock.amazonaws.com" } } } ] } ``` ------ Para ter mais informações sobre como configurar o Amazon Bedrock, consulte [Início rápido](getting-started.md). Talvez você queira usar uma AWS Key Management Service chave para criptografar o endpoint em que implantou o modelo. Você de deve modificar a política precedente para ter permissão para usar a chave do AWS KMS . A AWS KMS chave também deve ter permissões para criptografar o endpoint. Você deve modificar a política de recursos do AWS KMS para criptografar o endpoint. Para obter mais informações sobre como modificar a política, consulte Como [usar políticas do IAM com AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies). Sua AWS KMS chave também deve ter `CreateGrant` permissões. Veja a seguir um exemplo de permissões que devem estar na política de chave. ``` { "Sid": "Allow access for AmazonSageMaker-ExecutionRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/{{SagemakerExecutionRole}}" }, "Action": "kms:CreateGrant", "Resource": "*" } ``` Para obter mais informações sobre como fornecer permissões de criação de [concessão, consulte Conceder CreateGrant permissão](https://docs.aws.amazon.com/kms/latest/developerguide/create-grant-overview.html#grant-creategrant).