(Optional) Erstellen Sie für zusätzliche Sicherheit einen vom Kunden verwalteten Schlüssel für Ihre Leitplanke - Amazon Bedrock

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

(Optional) Erstellen Sie für zusätzliche Sicherheit einen vom Kunden verwalteten Schlüssel für Ihre Leitplanke

Sie verschlüsseln Ihre Leitplanken mit vom Kunden verwaltetem System. AWS KMS keys Jeder Benutzer mit CreateKey entsprechenden Berechtigungen kann mithilfe der Konsole oder des Befehls AWS Key Management Service (AWS KMS) vom Kunden verwaltete Schlüssel erstellen. CreateKey Stellen Sie in diesen Situationen sicher, dass Sie einen symmetrischen Verschlüsselungsschlüssel erstellen.

Nachdem Sie Ihren Schlüssel erstellt haben, konfigurieren Sie die folgenden Berechtigungsrichtlinien.

  1. Gehen Sie wie folgt vor, um eine ressourcenbasierte Schlüsselrichtlinie zu erstellen:

    1. Erstellen Sie eine Schlüsselrichtlinie, um eine ressourcenbasierte Richtlinie für Ihren KMS-Schlüssel zu erstellen.

    2. Fügen Sie die folgenden Richtlinienerklärungen hinzu, um Guardrails-Benutzern und Guardrails-Erstellern Berechtigungen zu gewähren. Ersetzen Sie jede Rolle role durch die Rolle, der Sie die Ausführung der angegebenen Aktionen gestatten möchten.

      JSON
      {
    "Version": "2012-10-17",
    "Id": "KMS key policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUsers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }
    ]
}

  2. Ordnen Sie einer Rolle die folgende identitätsbasierte Richtlinie zu, damit sie Leitplanken erstellen und verwalten kann. Ersetzen Sie das key-id durch die ID des KMS-Schlüssels, den Sie erstellt haben.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowRoleToCreateAndManageGuardrails",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:DescribeKey",
            "kms:GenerateDataKey",
            "kms:CreateGrant"
        ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
    }]
}

  3. Ordnen Sie einer Rolle die folgende identitätsbasierte Richtlinie zu, damit sie die Guardrail verwenden kann, die Sie während der Modellinferenz oder beim Aufrufen eines Agenten verschlüsselt haben. Ersetzen Sie das durch die ID des key-id KMS-Schlüssels, den Sie erstellt haben.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
    }]
}