View a markdown version of this page

(Facoltativo) Creazione di una chiave gestita dal cliente per il guardrail al fine di aumentare la sicurezza - Amazon Bedrock

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

(Facoltativo) Creazione di una chiave gestita dal cliente per il guardrail al fine di aumentare la sicurezza

Crittografi i tuoi guardrail con Customer Managed. AWS KMS keys Qualsiasi utente con CreateKey autorizzazioni può creare chiavi gestite dal cliente utilizzando la console AWS Key Management Service (AWS KMS) o l'operazione. CreateKey In queste situazioni, assicurati di creare una chiave di crittografia simmetrica.

Dopo aver creato la chiave, configura le seguenti policy di autorizzazione.

  1. Procedi come segue per creare una policy della chiave basata sulle risorse:

    1. Crea una policy della chiave per creare una policy basata sulle risorse per la chiave KMS.

    2. Aggiungi le seguenti dichiarazioni di policy per concedere le autorizzazioni agli utenti e ai creatori di guardrail. Sostituisci ciascun role con il ruolo a cui desideri consentire di eseguire le azioni specificate.

      JSON
      {
    "Version":"2012-10-17",
    "Id": "KMS key policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUsers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }
    ]
}

  2. Aggiungi la seguente policy basata sull’identità a un ruolo per consentirgli di creare e gestire guardrail. Sostituisci key-id con l’ID della chiave KMS che hai creato.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRoleToCreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:CreateGrant"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}

  3. Aggiungi la seguente policy basata sull’identità a un ruolo per consentirgli di utilizzare il guardrail che hai crittografato durante l’inferenza del modello o durante l’invocazione di un agente. Sostituisci key-id con l’ID della chiave KMS che hai creato.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}