(可选)为防护机制创建客户管理的密钥以提高安全性 - Amazon Bedrock

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

(可选)为防护机制创建客户管理的密钥以提高安全性

您可以通过客户管理来加密您的护栏。 AWS KMS keys任何具有CreateKey权限的用户都可以使用 AWS Key Management Service (AWS KMS) 控制台或CreateKey操作创建客户托管密钥。在这种情况下,请务必创建对称加密密钥。

创建密钥后,配置以下权限策略。

  1. 执行以下操作来创建基于资源的密钥策略:

    1. 创建密钥策略,为您的 KMS 密钥创建基于资源的策略。

    2. 添加以下策略语句,以便向防护机制用户和防护机制创建者授予权限。将每个role角色替换为允许其执行指定操作的角色。

      JSON
      {
    "Version": "2012-10-17",
    "Id": "KMS key policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUsers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }
    ]
}

  2. 将以下基于身份的策略附加到角色,以便该角色能够创建和管理防护机制。将key-id替换为您创建的 KMS 密钥的 ID。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowRoleToCreateAndManageGuardrails",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:DescribeKey",
            "kms:GenerateDataKey",
            "kms:CreateGrant"
        ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
    }]
}

  3. 将以下基于身份的策略附加到角色,以便该角色能够在模型推理过程中或调用代理时使用您加密的防护机制。将key-id替换为您创建的 KMS 密钥的 ID。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
    }]
}