View a markdown version of this page

(Optional) So erstellen Sie für zusätzliche Sicherheit einen kundenseitig verwalteten Schlüssel für Ihren Integritätsschutz - Amazon Bedrock

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

(Optional) So erstellen Sie für zusätzliche Sicherheit einen kundenseitig verwalteten Schlüssel für Ihren Integritätsschutz

Sie verschlüsseln Ihre Leitplanken mit Customer Managed. AWS KMS keys Jeder Benutzer mit CreateKey entsprechenden Berechtigungen kann mithilfe der Konsole oder des Befehls AWS Key Management Service (AWS KMS) vom Kunden verwaltete Schlüssel erstellen. CreateKey In solchen Fällen müssen Sie sicherstellen, dass Sie einen symmetrischen Verschlüsselungsschlüssel erstellen.

Nachdem Sie Ihren Schlüssel erstellt haben, konfigurieren Sie die folgenden Berechtigungsrichtlinien.

  1. Gehen Sie wie folgt vor, um eine ressourcenbasierte Schlüsselrichtlinie zu erstellen:

    1. Erstellen Sie eine Schlüsselrichtlinie, um eine ressourcenbasierte Richtlinie für Ihren KMS-Schlüssel zu erstellen.

    2. Fügen Sie die folgenden Richtlinienanweisungen hinzu, um Benutzern und Entwicklern des Integritätsschutzes Berechtigungen zu gewähren. Ersetzen Sie jede role durch die Rolle, der Sie die Ausführung der angegebenen Aktionen gestatten möchten.

      JSON
      {
    "Version":"2012-10-17",
    "Id": "KMS key policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUsers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }
    ]
}

  2. Fügen Sie die folgende identitätsbasierte Richtlinie an eine Rolle an, damit diese Integritätsschutzmechanismen erstellen und verwalten kann. Ersetzen Sie die key-id durch die ID der KMS, die Sie erstellt haben.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRoleToCreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:CreateGrant"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}

  3. Fügen Sie die folgende identitätsbasierte Richtlinie einer Rolle hinzu, damit sie den Integritätsschutz verwenden kann, den Sie bei der Modellinferenz oder beim Aufrufen eines Agenten verschlüsselt haben. Ersetzen Sie die key-id durch die ID der KMS, die Sie erstellt haben.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}