(Facoltativo) Crea una chiave gestita dal cliente per il tuo guardrail per una maggiore sicurezza - Amazon Bedrock

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

(Facoltativo) Crea una chiave gestita dal cliente per il tuo guardrail per una maggiore sicurezza

Crittografate i vostri guardrail con Customer Managed. AWS KMS keys Qualsiasi utente con CreateKey autorizzazioni può creare chiavi gestite dal cliente utilizzando la console AWS Key Management Service (AWS KMS) o l'operazione. CreateKey In queste situazioni, assicurati di creare una chiave di crittografia simmetrica.

Dopo aver creato la chiave, configura le seguenti politiche di autorizzazione.

  1. Effettua le seguenti operazioni per creare una politica chiave basata sulle risorse:

    1. Crea una politica chiave per creare una politica basata sulle risorse per la tua chiave KMS.

    2. Aggiungi le seguenti dichiarazioni politiche per concedere le autorizzazioni agli utenti di guardrails e ai creatori di guardrails. Sostituisci ciascuno role con il ruolo a cui desideri consentire di eseguire le azioni specificate.

      JSON
      {
    "Version": "2012-10-17",
    "Id": "KMS key policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUsers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }
    ]
}

  2. Allega la seguente politica basata sull'identità a un ruolo per consentirgli di creare e gestire i guardrail. Sostituisci il key-id con l'ID della chiave KMS che hai creato.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowRoleToCreateAndManageGuardrails",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:DescribeKey",
            "kms:GenerateDataKey",
            "kms:CreateGrant"
        ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
    }]
}

  3. Allega la seguente politica basata sull'identità a un ruolo per consentirgli di utilizzare il guardrail che hai crittografato durante l'inferenza del modello o durante l'invocazione di un agente. Sostituisci il key-id con l'ID della chiave KMS che hai creato.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
    }]
}