(Opcional) Criar uma chave gerenciada pelo cliente para a barreira de proteção para obter segurança adicional - Amazon Bedrock

(Opcional) Criar uma chave gerenciada pelo cliente para a barreira de proteção para obter segurança adicional

Criptografe suas barreiras de proteção com as AWS KMS keys gerenciadas pelo cliente. Qualquer usuário com permissões CreateKey pode criar chaves gerenciadas pelo cliente usando o console do AWS Key Management Service (AWS KMS) ou a operação CreateKey. Nessas situações, crie uma chave de criptografia simétrica.

Depois de criar a chave, configure as políticas de permissão a seguir.

  1. Faça o seguinte para criar uma política de chave baseada em recurso:

    1. Crie uma política de chave para criar uma política baseada em recursos para a chave do KMS.

    2. Adicione as declarações de política a seguir para conceder permissões aos usuários e criadores das barreiras de proteção. Substitua cada role pelo perfil ao qual você deseja conceder permissão para executar as ações especificadas.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Id": "KMS key policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUsers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }
    ]
}

  2. Anexe a política baseada em identidade a seguir para permitir que ela crie e gerencie barreiras de proteção. Substitua o key-id pelo ID da chave do KMS que você criou.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRoleToCreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:CreateGrant"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}

  3. Anexe a política baseada em identidade a seguir a um perfil para permitir que ele use a barreira de proteção que você criptografou durante a inferência do modelo ou ao invocar um agente. Substitua o key-id pelo ID da chave do KMS que você criou.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}