(Opcional) Criar uma chave gerenciada pelo cliente para a barreira de proteção para obter segurança adicional - Amazon Bedrock

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

(Opcional) Criar uma chave gerenciada pelo cliente para a barreira de proteção para obter segurança adicional

Você criptografa suas grades de proteção com o Customer Managed. AWS KMS keys Qualquer usuário com CreateKey permissões pode criar chaves gerenciadas pelo cliente usando o console ou a CreateKeyoperação AWS Key Management Service (AWS KMS). Nessas situações, certifique-se de criar uma chave de criptografia simétrica.

Depois de criar sua chave, configure as seguintes políticas de permissão.

  1. Faça o seguinte para criar uma política de chaves baseada em recursos:

    1. Crie uma política de chaves para criar uma política baseada em recursos para sua chave KMS.

    2. Adicione as declarações de política a seguir para conceder permissões aos usuários e criadores das barreiras de proteção. roleSubstitua cada uma pela função que você deseja permitir para realizar as ações especificadas.

      JSON
      {
    "Version": "2012-10-17",
    "Id": "KMS key policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUsers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }
    ]
}

  2. Anexe a política baseada em identidade a seguir para permitir que ela crie e gerencie barreiras de proteção. key-idSubstitua o pelo ID da chave KMS que você criou.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowRoleToCreateAndManageGuardrails",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:DescribeKey",
            "kms:GenerateDataKey",
            "kms:CreateGrant"
        ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
    }]
}

  3. Anexe a política baseada em identidade a seguir a um perfil para permitir que ele use a barreira de proteção que você criptografou durante a inferência do modelo ou ao invocar um agente. key-idSubstitua o pelo ID da chave KMS que você criou.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
    }]
}