As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # (Opcional) Criar uma chave gerenciada pelo cliente para a barreira de proteção para obter segurança adicional Você criptografa suas grades de proteção com o Customer Managed. AWS KMS keys Qualquer usuário com `CreateKey` permissões pode criar chaves gerenciadas pelo cliente usando o console ou a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação AWS Key Management Service (AWS KMS). Nessas situações, crie uma chave de criptografia simétrica. Depois de criar a chave, configure as políticas de permissão a seguir. 1. Faça o seguinte para criar uma política de chave baseada em recurso: 1. [Crie uma política de chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) para criar uma política baseada em recursos para a chave do KMS. 1. Adicione as declarações de política a seguir para conceder permissões aos usuários e criadores das barreiras de proteção. Substitua cada `{{role}}` pelo perfil ao qual você deseja conceder permissão para executar as ações especificadas. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "KMS key policy", "Statement": [ { "Sid": "PermissionsForGuardrailsCreators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:user/{{role}}" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "PermissionsForGuardrailsUsers", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:user/{{role}}" }, "Action": "kms:Decrypt", "Resource": "*" } ] } ``` ------ 1. Anexe a política baseada em identidade a seguir para permitir que ela crie e gerencie barreiras de proteção. Substitua o `{{key-id}}` pelo ID da chave do KMS que você criou. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRoleToCreateAndManageGuardrails", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey", "kms:CreateGrant" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}" } ] } ``` ------ 1. Anexe a política baseada em identidade a seguir a um perfil para permitir que ele use a barreira de proteção que você criptografou durante a inferência do modelo ou ao invocar um agente. Substitua o `{{key-id}}` pelo ID da chave do KMS que você criou. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}" } ] } ``` ------