(Facultatif) Créez une clé gérée par le client pour votre garde-corps afin de renforcer la sécurité - Amazon Bedrock

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

(Facultatif) Créez une clé gérée par le client pour votre garde-corps afin de renforcer la sécurité

Vous cryptez vos barrières de sécurité grâce à la solution gérée par le client. AWS KMS keys Tout utilisateur CreateKey autorisé peut créer des clés gérées par le client à l'aide de la console AWS Key Management Service (AWS KMS) ou de CreateKeyl'opération. Dans ces situations, veillez à créer une clé de chiffrement symétrique.

Après avoir créé votre clé, configurez les politiques d'autorisation suivantes.

  1. Procédez comme suit pour créer une politique clé basée sur les ressources :

    1. Créez une politique clé pour créer une politique basée sur les ressources pour votre clé KMS.

    2. Ajoutez les déclarations de politique suivantes pour accorder des autorisations aux utilisateurs et aux créateurs de garde-corps. Remplacez chacun role par le rôle que vous souhaitez autoriser à effectuer les actions spécifiées.

      JSON
      {
    "Version": "2012-10-17",
    "Id": "KMS key policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUsers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }
    ]
}

  2. Associez la politique basée sur l'identité suivante à un rôle pour lui permettre de créer et de gérer des barrières de sécurité. Remplacez le key-id par l'ID de la clé KMS que vous avez créée.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowRoleToCreateAndManageGuardrails",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:DescribeKey",
            "kms:GenerateDataKey",
            "kms:CreateGrant"
        ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
    }]
}

  3. Associez la politique basée sur l'identité suivante à un rôle pour lui permettre d'utiliser le garde-fou que vous avez chiffré lors de l'inférence du modèle ou lors de l'appel d'un agent. Remplacez le key-id par l'ID de la clé KMS que vous avez créée.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
    }]
}