(Optional) So erstellen Sie für zusätzliche Sicherheit einen kundenseitig verwalteten Schlüssel für Ihren Integritätsschutz - Amazon Bedrock

(Optional) So erstellen Sie für zusätzliche Sicherheit einen kundenseitig verwalteten Schlüssel für Ihren Integritätsschutz

Sie verschlüsseln Ihren Integritätsschutz mit kundenseitig verwalteten AWS KMS keys. Jeder Benutzer mit CreateKey-Berechtigungen kann kundenseitig verwaltete Schlüssel entweder mithilfe der AWS Key Management Service (AWS KMS)-Konsole oder der Operation CreateKey erstellen. In solchen Fällen müssen Sie sicherstellen, dass Sie einen symmetrischen Verschlüsselungsschlüssel erstellen.

Nachdem Sie Ihren Schlüssel erstellt haben, konfigurieren Sie die folgenden Berechtigungsrichtlinien.

  1. Gehen Sie wie folgt vor, um eine ressourcenbasierte Schlüsselrichtlinie zu erstellen:

    1. Erstellen Sie eine Schlüsselrichtlinie, um eine ressourcenbasierte Richtlinie für Ihren KMS-Schlüssel zu erstellen.

    2. Fügen Sie die folgenden Richtlinienanweisungen hinzu, um Benutzern und Entwicklern des Integritätsschutzes Berechtigungen zu gewähren. Ersetzen Sie jede role durch die Rolle, der Sie die Ausführung der angegebenen Aktionen gestatten möchten.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Id": "KMS key policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUsers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }
    ]
}

  2. Fügen Sie die folgende identitätsbasierte Richtlinie an eine Rolle an, damit diese Integritätsschutzmechanismen erstellen und verwalten kann. Ersetzen Sie die key-id durch die ID der KMS, die Sie erstellt haben.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRoleToCreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:CreateGrant"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}

  3. Fügen Sie die folgende identitätsbasierte Richtlinie einer Rolle hinzu, damit sie den Integritätsschutz verwenden kann, den Sie bei der Modellinferenz oder beim Aufrufen eines Agenten verschlüsselt haben. Ersetzen Sie die key-id durch die ID der KMS, die Sie erstellt haben.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}