Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # (Opsional) Buat kunci terkelola pelanggan untuk pagar pembatas Anda untuk keamanan tambahan Anda mengenkripsi pagar pembatas Anda dengan pelanggan yang dikelola. AWS KMS keys Setiap pengguna dengan `CreateKey` izin dapat membuat kunci yang dikelola pelanggan dengan menggunakan konsol atau [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi AWS Key Management Service (AWS KMS). Dalam situasi ini, pastikan untuk membuat kunci enkripsi simetris. Setelah Anda membuat kunci, konfigurasikan kebijakan izin berikut. 1. Lakukan hal berikut untuk membuat kebijakan kunci berbasis sumber daya: 1. [Buat kebijakan utama untuk membuat kebijakan](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) berbasis sumber daya untuk kunci KMS Anda. 1. Tambahkan pernyataan kebijakan berikut untuk memberikan izin kepada pengguna pagar pembatas dan pembuat pagar pembatas. Ganti masing-masing `{{role}}` dengan peran yang ingin Anda izinkan untuk melakukan tindakan yang ditentukan. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "KMS key policy", "Statement": [ { "Sid": "PermissionsForGuardrailsCreators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:user/{{role}}" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "PermissionsForGuardrailsUsers", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:user/{{role}}" }, "Action": "kms:Decrypt", "Resource": "*" } ] } ``` ------ 1. Lampirkan kebijakan berbasis identitas berikut ke peran untuk memungkinkannya membuat dan mengelola pagar pembatas. Ganti `{{key-id}}` dengan ID kunci KMS yang Anda buat. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRoleToCreateAndManageGuardrails", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey", "kms:CreateGrant" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}" } ] } ``` ------ 1. Lampirkan kebijakan berbasis identitas berikut ke peran untuk memungkinkannya menggunakan pagar pembatas yang Anda enkripsi selama inferensi model atau saat memanggil agen. Ganti `{{key-id}}` dengan ID kunci KMS yang Anda buat. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}" } ] } ``` ------