(選用) 為您的護欄建立客戶受管金鑰,以提高安全性 - Amazon Bedrock

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

(選用) 為您的護欄建立客戶受管金鑰,以提高安全性

您可以使用客戶受管來加密護欄 AWS KMS keys。具有CreateKey許可的任何使用者都可以使用 AWS Key Management Service (AWS KMS) 主控台或 CreateKey 操作來建立客戶受管金鑰。在這些情況下,請務必建立對稱加密金鑰。

建立金鑰後,請設定下列許可政策。

  1. 執行下列動作來建立以資源為基礎的金鑰政策:

    1. 建立金鑰政策,為您的 KMS 金鑰建立以資源為基礎的政策。

    2. 新增下列政策陳述式,將許可授予護欄使用者和護欄建立者。將每個 取代role為您要允許 執行指定動作的角色。

      JSON
      { "Version": "2012-10-17", "Id": "KMS key policy", "Statement": [ { "Sid": "PermissionsForGuardrailsCreators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "PermissionsForGuardrailsUsers", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": "kms:Decrypt", "Resource": "*" } ] }
  2. 將下列身分型政策連接至角色,以允許其建立和管理護欄。key-id 將 取代為您建立的 KMS 金鑰 ID。

    JSON
    { "Version": "2012-10-17", "Statement": [{ "Sid": "AllowRoleToCreateAndManageGuardrails", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey", "kms:CreateGrant" ], "Resource": "arn:aws:kms:region:account-id:key/key-id" }] }
  3. 將下列身分型政策連接至角色,以允許其使用您在模型推論或叫用代理程式時加密的護欄。key-id 將 取代為您建立的 KMS 金鑰 ID。

    JSON
    { "Version": "2012-10-17", "Statement": [{ "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:region:account-id:key/key-id" }] }