本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
(選用) 為您的護欄建立客戶受管金鑰,以提高安全性
您可以使用客戶受管來加密護欄 AWS KMS keys。具有CreateKey
許可的任何使用者都可以使用 AWS Key Management Service (AWS KMS) 主控台或 CreateKey 操作來建立客戶受管金鑰。在這些情況下,請務必建立對稱加密金鑰。
建立金鑰後,請設定下列許可政策。
-
執行下列動作來建立以資源為基礎的金鑰政策:
-
建立金鑰政策,為您的 KMS 金鑰建立以資源為基礎的政策。
-
新增下列政策陳述式,將許可授予護欄使用者和護欄建立者。將每個 取代role
為您要允許 執行指定動作的角色。
- JSON
-
-
{
"Version": "2012-10-17",
"Id": "KMS key policy",
"Statement": [
{
"Sid": "PermissionsForGuardrailsCreators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id
:user/role
"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Sid": "PermissionsForGuardrailsUsers",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id
:user/role
"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
]
}
-
將下列身分型政策連接至角色,以允許其建立和管理護欄。key-id
將 取代為您建立的 KMS 金鑰 ID。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowRoleToCreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:region
:account-id
:key/key-id
"
}]
}
-
將下列身分型政策連接至角色,以允許其使用您在模型推論或叫用代理程式時加密的護欄。key-id
將 取代為您建立的 KMS 金鑰 ID。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:region
:account-id
:key/key-id
"
}]
}