(Opcional) Cree una clave administrada por el cliente para la barrera de protección para disponer de mayor seguridad - Amazon Bedrock

(Opcional) Cree una clave administrada por el cliente para la barrera de protección para disponer de mayor seguridad

Las barreras de protección se cifran con AWS KMS keys administradas por el cliente. Cualquier usuario con permisos CreateKey puede crear claves administradas por el cliente mediante la consola de AWS Key Management Service (AWS KMS) o la operación CreateKey. En estas situaciones, asegúrese de crear una clave de cifrado simétrica.

Tras crear la clave, configure las siguientes políticas de permisos.

  1. Haga lo siguiente para crear una política basada en recursos:

    1. Cree una política de claves para crear una política basada en recursos para la clave de KMS.

    2. Agregue las siguientes instrucciones de la política para conceder permisos a los usuarios de barreras de protección y a los creadores de barreras de protección. Sustituya cada role por el rol al que desee permitir que lleve a cabo las acciones especificadas.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Id": "KMS key policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUsers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }
    ]
}

  2. Asocie la siguiente política basada en identidades a un rol para permitirle crear y administrar barreras de protección. Sustituya el key-id por el ID de la clave de KMS que ha creado.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRoleToCreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:CreateGrant"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}

  3. Asocie la siguiente política basada en identidades a un rol para que pueda usar la barrera de protección cifrada durante la inferencia del modelo o al invocar a un agente. Sustituya el key-id por el ID de la clave de KMS que ha creado.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}