(Opcional) Cree una clave administrada por el cliente para la barrera de protección para disponer de mayor seguridad - Amazon Bedrock

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

(Opcional) Cree una clave administrada por el cliente para la barrera de protección para disponer de mayor seguridad

Cifra sus barandas con la función gestionada por el cliente. AWS KMS keys Cualquier usuario con CreateKey permisos puede crear claves gestionadas por el cliente mediante la consola o la AWS Key Management Service operación (AWS KMS). CreateKey En estas situaciones, asegúrese de crear una clave de cifrado simétrica.

Tras crear la clave, configure las siguientes políticas de permisos.

  1. Haga lo siguiente para crear una política basada en recursos:

    1. Cree una política de claves para crear una política basada en recursos para la clave de KMS.

    2. Agregue las siguientes instrucciones de la política para conceder permisos a los usuarios de barreras de protección y a los creadores de barreras de protección. Sustituya cada role por el rol al que desee permitir que lleve a cabo las acciones especificadas.

      JSON
      {
    "Version":"2012-10-17",
    "Id": "KMS key policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUsers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }
    ]
}

  2. Asocie la siguiente política basada en identidades a un rol para permitirle crear y administrar barreras de protección. Sustituya el key-id por el ID de la clave de KMS que ha creado.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRoleToCreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:CreateGrant"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}

  3. Asocie la siguiente política basada en identidades a un rol para que pueda usar la barrera de protección cifrada durante la inferencia del modelo o al invocar a un agente. Sustituya el key-id por el ID de la clave de KMS que ha creado.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}