(オプション) セキュリティ強化のためにガードレール用のカスタマーマネージドキーを作成する - Amazon Bedrock

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

(オプション) セキュリティ強化のためにガードレール用のカスタマーマネージドキーを作成する

ガードレールはカスタマーマネージドで暗号化します AWS KMS keys。アクセスCreateKey許可を持つユーザーは、 AWS Key Management Service (AWS KMS) コンソールまたは CreateKey オペレーションを使用してカスタマーマネージドキーを作成できます。このような場合は、必ず対称暗号化キーを作成してください。

キーを作成したら、次のアクセス許可ポリシーを設定します。

  1. リソースベースのキーポリシーを作成するには、次の手順を実行します。

    1. キーポリシーを作成して、KMS キーのリソースベースのポリシーを作成します。

    2. 次のポリシーステートメントを追加して、ガードレールユーザーとガードレール作成者にアクセス許可を付与します。それぞれをrole、指定されたアクションを実行することを許可するロールに置き換えます。

      JSON
      { "Version": "2012-10-17", "Id": "KMS key policy", "Statement": [ { "Sid": "PermissionsForGuardrailsCreators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "PermissionsForGuardrailsUsers", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": "kms:Decrypt", "Resource": "*" } ] }
  2. 次のアイデンティティベースのポリシーをロールにアタッチして、そのロールでガードレールを作成および管理できるようにします。を、作成した KMS キーの ID key-idに置き換えます。

    JSON
    { "Version": "2012-10-17", "Statement": [{ "Sid": "AllowRoleToCreateAndManageGuardrails", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey", "kms:CreateGrant" ], "Resource": "arn:aws:kms:region:account-id:key/key-id" }] }
  3. 次のアイデンティティベースのポリシーをロールにアタッチして、モデル推論中またはエージェントの呼び出し中に、暗号化されたガードレールをそのロールで使用できるようにします。を、作成した KMS キーの ID key-idに置き換えます。

    JSON
    { "Version": "2012-10-17", "Statement": [{ "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:region:account-id:key/key-id" }] }