(Opsional) Buat kunci terkelola pelanggan untuk pagar pembatas Anda untuk keamanan tambahan - Amazon Bedrock

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

(Opsional) Buat kunci terkelola pelanggan untuk pagar pembatas Anda untuk keamanan tambahan

Anda mengenkripsi pagar pembatas Anda dengan pelanggan yang dikelola. AWS KMS keys Setiap pengguna dengan CreateKey izin dapat membuat kunci yang dikelola pelanggan dengan menggunakan konsol atau CreateKeyoperasi AWS Key Management Service (AWS KMS). Dalam situasi ini, pastikan untuk membuat kunci enkripsi simetris.

Setelah Anda membuat kunci, konfigurasikan kebijakan izin berikut.

  1. Lakukan hal berikut untuk membuat kebijakan kunci berbasis sumber daya:

    1. Buat kebijakan utama untuk membuat kebijakan berbasis sumber daya untuk kunci KMS Anda.

    2. Tambahkan pernyataan kebijakan berikut untuk memberikan izin kepada pengguna pagar pembatas dan pembuat pagar pembatas. Ganti masing-masing role dengan peran yang ingin Anda izinkan untuk melakukan tindakan yang ditentukan.

      JSON
      {
    "Version": "2012-10-17",
    "Id": "KMS key policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUsers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }
    ]
}

  2. Lampirkan kebijakan berbasis identitas berikut ke peran untuk memungkinkannya membuat dan mengelola pagar pembatas. Ganti key-id dengan ID kunci KMS yang Anda buat.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowRoleToCreateAndManageGuardrails",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:DescribeKey",
            "kms:GenerateDataKey",
            "kms:CreateGrant"
        ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
    }]
}

  3. Lampirkan kebijakan berbasis identitas berikut ke peran untuk memungkinkannya menggunakan pagar pembatas yang Anda enkripsi selama inferensi model atau saat memanggil agen. Ganti key-id dengan ID kunci KMS yang Anda buat.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
    }]
}