(オプション) セキュリティ強化のためにガードレール用のカスタマーマネージドキーを作成する

リソースベースのキーポリシーを作成するには、次の手順を実行します。

1. キーポリシーを作成して、KMS キーのリソースベースのポリシーを作成します。

2. 次のポリシーステートメントを追加して、ガードレールユーザーとガードレール作成者にアクセス許可を付与します。それぞれをrole、指定されたアクションを実行することを許可するロールに置き換えます。

   JSON

   {
       "Version": "2012-10-17",
       "Id": "KMS key policy",
       "Statement": [
           {
               "Sid": "PermissionsForGuardrailsCreators",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::account-id:user/role"
               },
               "Action": [
                   "kms:Decrypt",
                   "kms:GenerateDataKey",
                   "kms:DescribeKey",
                   "kms:CreateGrant"
               ],
               "Resource": "*"
           },
           {
               "Sid": "PermissionsForGuardrailsUsers",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::account-id:user/role"
               },
               "Action": "kms:Decrypt",
               "Resource": "*"
           }
       ]
   }
   

次のアイデンティティベースのポリシーをロールにアタッチして、そのロールでガードレールを作成および管理できるようにします。を、作成した KMS キーの ID key-idに置き換えます。

次のアイデンティティベースのポリシーをロールにアタッチして、モデル推論中またはエージェントの呼び出し中に、暗号化されたガードレールをそのロールで使用できるようにします。を、作成した KMS キーの ID key-idに置き換えます。