(Opcional) Cree una clave administrada por el cliente para la barrera de protección para disponer de mayor seguridad - Amazon Bedrock

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

(Opcional) Cree una clave administrada por el cliente para la barrera de protección para disponer de mayor seguridad

Las barandillas se cifran con las gestionadas por el cliente. AWS KMS keys Cualquier usuario con CreateKey permisos puede crear claves gestionadas por el cliente mediante la consola o la AWS Key Management Service operación (AWS KMS). CreateKey En estas situaciones, asegúrese de crear una clave de cifrado simétrica.

Después de crear la clave, configure las siguientes políticas de permisos.

  1. Haga lo siguiente para crear una política de claves basada en recursos:

    1. Cree una política clave para crear una política basada en recursos para su clave de KMS.

    2. Agregue las siguientes instrucciones de la política para conceder permisos a los usuarios de barreras de protección y a los creadores de barreras de protección. Sustituya cada una role por la función a la que desee permitir que lleve a cabo las acciones especificadas.

      JSON
      {
    "Version": "2012-10-17",
    "Id": "KMS key policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUsers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }
    ]
}

  2. Asocie la siguiente política basada en identidades a un rol para permitirle crear y administrar barreras de protección. Sustitúyala por el ID de la clave KMS que creaste. key-id

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowRoleToCreateAndManageGuardrails",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:DescribeKey",
            "kms:GenerateDataKey",
            "kms:CreateGrant"
        ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
    }]
}

  3. Asocie la siguiente política basada en identidades a un rol para que pueda usar la barrera de protección cifrada durante la inferencia del modelo o al invocar a un agente. Sustitúyalo por el ID de la clave KMS que creaste. key-id

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
    }]
}