기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
(선택 사항) 추가 보안을 위해 가드레일에 대한 고객 관리형 키 생성
고객 관리형를 사용하여 가드레일을 암호화합니다 AWS KMS keys. CreateKey 권한이 있는 모든 사용자는 AWS Key Management Service (AWS KMS) 콘솔 또는 CreateKey 작업을 사용하여 고객 관리형 키를 생성할 수 있습니다. 이러한 상황에서는 대칭 암호화 키를 생성해야 합니다.
키를 생성한 후 다음 권한 정책을 구성합니다.
-
다음을 수행하여 리소스 기반 키 정책을 생성합니다.
-
키 정책을 생성하여 KMS 키에 대한 리소스 기반 정책을 생성합니다.
-
가드레일 사용자 및 가드레일 생성자에게 권한을 부여하려면 다음 정책 문을 추가합니다. 각각role
- JSON
-
-
{
"Version": "2012-10-17",
"Id": "KMS key policy",
"Statement": [
{
"Sid": "PermissionsForGuardrailsCreators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Sid": "PermissionsForGuardrailsUsers",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:user/role"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
]
}
-
다음 ID 기반 정책을 역할에 연결하여 가드레일을 만들고 관리할 수 있습니다. 를 생성한 KMS 키의 IDkey-id
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowRoleToCreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:region:account-id:key/key-id"
}]
}
-
다음 ID 기반 정책을 역할에 연결하여 모델 추론 또는 에이전트 간접 호출 중에 암호화된 가드레일을 사용할 수 있도록 합니다. 를 생성한 KMS 키의 IDkey-id
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:region:account-id:key/key-id"
}]
}
