連線至 Amazon Bedrock - AWS App Studio
步驟 1:啟用 Amazon Bedrock 模型步驟 2:使用適當的 Amazon Bedrock 許可建立 IAM 政策和角色步驟 3:建立 Amazon Bedrock 連接器

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

連線至 Amazon Bedrock

若要將 App Studio 與 Amazon Bedrock 連線,讓建置器可以在應用程式中存取和使用 Amazon Bedrock,您必須執行下列步驟:

  1. 步驟 1:啟用 Amazon Bedrock 模型

  2. 步驟 2:使用適當的 Amazon Bedrock 許可建立 IAM 政策和角色

  3. 步驟 3:建立 Amazon Bedrock 連接器

步驟 1:啟用 Amazon Bedrock 模型

使用下列程序來啟用 Amazon Bedrock 模型。

啟用 Amazon Bedrock 模型

  1. 登入 AWS Management Console ,並在 https://console.aws.amazon.com/bedrock/:// 開啟 Amazon Bedrock 主控台。

  2. 在左側導覽窗格中,選擇模型存取

  3. 啟用您要使用的模型。如需詳細資訊,請參閱管理對 Amazon Bedrock 基礎模型的存取

步驟 2:使用適當的 Amazon Bedrock 許可建立 IAM 政策和角色

若要搭配 App Studio 使用 Amazon Bedrock 資源,管理員必須建立 IAM 政策和角色,以授予 App Studio 存取資源的許可。IAM 政策控制可以對這些資源呼叫哪些資源和哪些操作,例如 InvokeModel。接著,IAM 政策會連接至 App Studio 所使用的 IAM 角色。

步驟 2a:使用適當的 Amazon Bedrock 許可建立 IAM 政策

您建立並與 App Studio 搭配使用的 IAM 政策應僅包含應用程式遵循最佳安全實務之適當資源的最低必要許可。

使用適當的 Amazon Bedrock 許可建立 IAM 政策

  1. 使用具有建立 IAM 政策許可的使用者登入 IAM 主控台。建議使用在 中建立的管理使用者建立管理使用者以管理 AWS 資源

  2. 在左側導覽窗格中,選擇政策

  3. 選擇建立政策

  4. 政策編輯器中,選擇 JSON 選項。

  5. 在 JSON 政策文件中輸入或貼上。下列範例政策會在所有 Amazon Bedrock 資源InvokeModel上使用萬用字元 (*) 提供 。

    為了實現最佳安全實務,您應該將萬用字元取代為您要搭配 App Studio 使用之資源的 Amazon Resource Name (ARN)。

    {
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "BedrockAccessForAppStudio",
         "Effect": "Allow",
         "Action": [
            "bedrock:InvokeModel"
         ],
         "Resource": "*"
      }
   ]
}

  6. 選擇下一步

  7. 檢閱和建立頁面上,提供政策名稱,例如 BedrockAccessForAppStudio描述 (選用)。

  8. 選擇建立政策以建立政策。

步驟 2b:建立 IAM 角色,讓 App Studio 存取 Amazon Bedrock

若要將 Amazon Bedrock 與 App Studio 搭配使用,管理員必須建立 IAM 角色,以授予 App Studio 存取資源的許可。IAM 角色控制 App Studio 應用程式要使用的許可範圍,並在建立連接器時使用。我們建議每個服務和政策至少建立一個 IAM 角色。

建立 IAM 角色,讓 App Studio 存取 Amazon Bedrock

  1. 使用具有建立 IAM 角色許可的使用者登入 IAM 主控台。建議使用在 中建立的管理使用者建立管理使用者以管理 AWS 資源

  2. 在主控台的導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)

  3. 信任的實體類型中,選擇自訂信任政策

  4. 將預設政策取代為下列政策,以允許 App Studio 應用程式在您的帳戶中擔任此角色。

    您必須取代政策中的下列預留位置。您可以在 App Studio 的帳戶設定頁面中找到要使用的值。

    • 111122223333 取代為用於設定 App Studio 執行個體的帳戶的 AWS 帳號,在 App Studio 執行個體的帳戶設定中列為帳戶 AWS ID

    • 111111111-2222-3333-4444-5555555555 取代為您的 App Studio 執行個體 ID,在 App Studio 執行個體的帳戶設定中列為執行個體 ID

    { 
    "Version": "2012-10-17",
    "Statement": [
        { 
            "Effect": "Allow",
            "Principal": { 
                "AWS": "arn:aws:iam::111122223333:root"
            }, 
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                        "aws:PrincipalTag/IsAppStudioAccessRole": "true",
                        "sts:ExternalId": "11111111-2222-3333-4444-555555555555"
                }
            }
        } 
    ]
}

    選擇下一步

  5. 新增許可中,搜尋並選取您在上一個步驟中建立的政策 (BedrockAccessForAppStudio)。選擇政策旁的 會展開政策,以顯示其授予的許可,然後選擇核取方塊以選取政策。

    選擇下一步

  6. 名稱、檢閱和建立頁面上,提供角色名稱描述

  7. 步驟 3:新增標籤中,選擇新增標籤以新增下列標籤,以提供 App Studio 存取:

    • 金鑰: IsAppStudioDataAccessRole

    • 值: true

  8. 選擇建立角色,並記下產生的 Amazon Resource Name (ARN),您將在下一個步驟中於 App Studio 中建立 Amazon Bedrock 連接器時需要它。

步驟 3:建立 Amazon Bedrock 連接器

現在您已設定 Amazon Bedrock 資源和 IAM 政策和角色,請使用該資訊在 App Studio 中建立連接器,建置器可以用來將其應用程式連線至 Amazon Bedrock。

注意

您必須在 App Studio 中具有管理員角色才能建立連接器。

建立 Amazon Bedrock 的連接器

  1. 導覽至 App Studio。

  2. 在左側導覽窗格中,在管理區段中選擇連接器。您將前往顯示現有連接器清單的頁面,其中包含每個連接器的一些詳細資訊。

  3. 選擇 + 建立連接器

  4. AWS 從連接器類型清單中選擇其他服務

  5. 填寫下列欄位來設定您的連接器:

    • 名稱:輸入 Amazon Bedrock 連接器的名稱。

    • 描述:輸入 Amazon Bedrock 連接器的描述。

    • IAM 角色:從在 中建立的 IAM 角色輸入 Amazon Resource Name (ARN)步驟 2b:建立 IAM 角色,讓 App Studio 存取 Amazon Bedrock。如需 IAM 的詳細資訊,請參閱《IAM 使用者指南》。

    • 服務:選擇 Bedrock 執行期

      注意

      Bedrock 執行期用於對 Amazon Bedrock 中託管的模型提出推論請求,而 Bedrock 用於管理、訓練和部署模型。

    • 區域:選擇 Amazon Bedrock 資源所在的 AWS 區域。

  6. 選擇建立

  7. 新建立的連接器會出現在連接器清單中。