(選用) 為您的護欄建立客戶受管金鑰,以提高安全性 - Amazon Bedrock

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

(選用) 為您的護欄建立客戶受管金鑰,以提高安全性

您可以使用客戶受管來加密護欄 AWS KMS keys。具有CreateKey許可的任何使用者都可以使用 AWS Key Management Service (AWS KMS) 主控台或 CreateKey 操作來建立客戶受管金鑰。在這些情況下,請務必建立對稱加密金鑰。

建立金鑰後,請設定下列許可政策。

  1. 執行下列動作來建立以資源為基礎的金鑰政策:

    1. 建立金鑰政策,為您的 KMS 金鑰建立以資源為基礎的政策。

    2. 新增下列政策陳述式,將許可授予護欄使用者和護欄建立者。將每個 取代role為您要允許 執行指定動作的角色。

      JSON
      {
    "Version": "2012-10-17",
    "Id": "KMS key policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUsers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }
    ]
}

  2. 將下列身分型政策連接至角色,以允許其建立和管理護欄。key-id 將 取代為您建立的 KMS 金鑰 ID。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowRoleToCreateAndManageGuardrails",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:DescribeKey",
            "kms:GenerateDataKey",
            "kms:CreateGrant"
        ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
    }]
}

  3. 將下列身分型政策連接至角色,以允許其使用您在模型推論或叫用代理程式時加密的護欄。key-id 將 取代為您建立的 KMS 金鑰 ID。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:region:account-id:key/key-id"
    }]
}