(Facultatif) Création d’une clé gérée par le client pour votre barrière de protection pour plus de sécurité - Amazon Bedrock

(Facultatif) Création d’une clé gérée par le client pour votre barrière de protection pour plus de sécurité

Vous chiffrez vos barrières de protection grâce aux AWS KMS keys gérées par le client. Tout utilisateur doté des autorisations CreateKey peut créer des clés gérées par le client à l’aide de la console AWS Key Management Service (AWS KMS) ou de l’opération CreateKey. Dans ces situations, assurez-vous de créer une clé de chiffrement symétrique.

Après avoir créé votre clé, configurez les stratégies d’autorisation suivantes.

  1. Pour créer votre stratégie de clé basée sur les ressources, procédez comme suit :

    1. Créez une stratégie de clé afin de créer une stratégie basée sur les ressources pour votre clé KMS.

    2. Ajoutez les déclarations de stratégie suivantes pour accorder des autorisations aux utilisateurs et aux créateurs de barrières de protection. Remplacez chaque role par le rôle que vous souhaitez autoriser à effectuer les actions spécifiées.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Id": "KMS key policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUsers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }
    ]
}

  2. Associez la stratégie suivante basée sur l’identité à un rôle pour lui permettre de créer et de gérer des barrières de protection. Remplacez key-id par l’ID de clé KMS que vous avez créée.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRoleToCreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:CreateGrant"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}

  3. Associez la stratégie basée sur l’identité suivante à un rôle pour lui permettre d’utiliser la barrière de protection que vous avez chiffré lors de l’inférence de modèle ou lors de l’invocation d’un agent. Remplacez key-id par l’ID de clé KMS que vous avez créée.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}