(선택 사항) 추가 보안을 위해 가드레일에 대한 고객 관리형 키 생성

리소스 기반 키 정책을 만들려면 다음을 수행합니다.

1. KMS 키에 대한 리소스 기반 정책을 만들려면 키 정책을 생성합니다.

2. 가드레일 사용자 및 가드레일 생성자에게 권한을 부여하려면 다음 정책 설명을 추가합니다. 각 role을 지정된 작업을 수행할 수 있도록 허용하려는 역할로 바꿉니다.

   JSON

   {
       "Version":"2012-10-17",		 	 	 
       "Id": "KMS key policy",
       "Statement": [
           {
               "Sid": "PermissionsForGuardrailsCreators",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:user/role"
               },
               "Action": [
                   "kms:Decrypt",
                   "kms:GenerateDataKey",
                   "kms:DescribeKey",
                   "kms:CreateGrant"
               ],
               "Resource": "*"
           },
           {
               "Sid": "PermissionsForGuardrailsUsers",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:user/role"
               },
               "Action": "kms:Decrypt",
               "Resource": "*"
           }
       ]
   }
   

다음 ID 기반 정책을 역할에 연결하여 가드레일을 만들고 관리할 수 있습니다. key-id를 이전에 만든 KMS 키의 ID로 바꿉니다.

다음 ID 기반 정책을 역할에 연결하여 모델 추론 또는 에이전트 간접 호출 중에 암호화된 가드레일을 사용할 수 있도록 합니다. key-id를 이전에 만든 KMS 키의 ID로 바꿉니다.