Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # (Facultatif) Création d’une clé gérée par le client pour votre barrière de protection pour plus de sécurité Vous cryptez vos barrières de sécurité grâce à la solution gérée par le client. AWS KMS keys Tout utilisateur `CreateKey` autorisé peut créer des clés gérées par le client à l'aide de la console AWS Key Management Service (AWS KMS) ou de [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)l'opération. Dans ces situations, assurez-vous de créer une clé de chiffrement symétrique. Après avoir créé votre clé, configurez les stratégies d’autorisation suivantes. 1. Pour créer votre stratégie de clé basée sur les ressources, procédez comme suit : 1. [Créez une stratégie de clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) afin de créer une stratégie basée sur les ressources pour votre clé KMS. 1. Ajoutez les déclarations de stratégie suivantes pour accorder des autorisations aux utilisateurs et aux créateurs de barrières de protection. Remplacez chaque `{{role}}` par le rôle que vous souhaitez autoriser à effectuer les actions spécifiées. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "KMS key policy", "Statement": [ { "Sid": "PermissionsForGuardrailsCreators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:user/{{role}}" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "PermissionsForGuardrailsUsers", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:user/{{role}}" }, "Action": "kms:Decrypt", "Resource": "*" } ] } ``` ------ 1. Associez la stratégie suivante basée sur l’identité à un rôle pour lui permettre de créer et de gérer des barrières de protection. Remplacez `{{key-id}}` par l’ID de clé KMS que vous avez créée. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRoleToCreateAndManageGuardrails", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey", "kms:CreateGrant" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}" } ] } ``` ------ 1. Associez la stratégie basée sur l’identité suivante à un rôle pour lui permettre d’utiliser la barrière de protection que vous avez chiffré lors de l’inférence de modèle ou lors de l’invocation d’un agent. Remplacez `{{key-id}}` par l’ID de clé KMS que vous avez créée. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}" } ] } ``` ------