(オプション) セキュリティ強化のためにガードレール用のカスタマーマネージドキーを作成する

リソースベースのキーポリシーを作成するには、次の手順を実行します。

1. 「キーポリシーを作成する」の手順に従って、KMS キーのリソースベースのポリシーを作成します。

2. 次のポリシーステートメントを追加して、ガードレールユーザーとガードレール作成者にアクセス許可を付与します。各 role は、指定されたアクションの実行を許可するロールに置き換えます。

   JSON

   {
       "Version":"2012-10-17",		 	 	 
       "Id": "KMS key policy",
       "Statement": [
           {
               "Sid": "PermissionsForGuardrailsCreators",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:user/role"
               },
               "Action": [
                   "kms:Decrypt",
                   "kms:GenerateDataKey",
                   "kms:DescribeKey",
                   "kms:CreateGrant"
               ],
               "Resource": "*"
           },
           {
               "Sid": "PermissionsForGuardrailsUsers",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:user/role"
               },
               "Action": "kms:Decrypt",
               "Resource": "*"
           }
       ]
   }
   

次のアイデンティティベースのポリシーをロールにアタッチして、そのロールでガードレールを作成および管理できるようにします。key-id を先ほど作成した KMS キーの ID に置き換えます。

次のアイデンティティベースのポリシーをロールにアタッチして、モデル推論中またはエージェントの呼び出し中に、暗号化されたガードレールをそのロールで使用できるようにします。key-id を先ほど作成した KMS キーの ID に置き換えます。