翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # (オプション) セキュリティ強化のためにガードレール用のカスタマーマネージドキーを作成する ガードレールはカスタマーマネージドで暗号化します AWS KMS keys。`CreateKey` アクセス許可を持つユーザーは、 AWS Key Management Service (AWS KMS) コンソールまたは [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) オペレーションを使用して、カスタマーマネージドキーを作成できます。この場合、必ず対称暗号化キーを作成します。 キーの作成後、次のアクセス許可を設定します。 1. リソースベースのキーポリシーを作成するには、次の手順を実行します。 1. 「[キーポリシーを作成する](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html)」の手順に従って、KMS キーのリソースベースのポリシーを作成します。 1. 次のポリシーステートメントを追加して、ガードレールユーザーとガードレール作成者にアクセス許可を付与します。各 `{{role}}` は、指定されたアクションの実行を許可するロールに置き換えます。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "KMS key policy", "Statement": [ { "Sid": "PermissionsForGuardrailsCreators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:user/{{role}}" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "PermissionsForGuardrailsUsers", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:user/{{role}}" }, "Action": "kms:Decrypt", "Resource": "*" } ] } ``` ------ 1. 次のアイデンティティベースのポリシーをロールにアタッチして、そのロールでガードレールを作成および管理できるようにします。`{{key-id}}` を先ほど作成した KMS キーの ID に置き換えます。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRoleToCreateAndManageGuardrails", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey", "kms:CreateGrant" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}" } ] } ``` ------ 1. 次のアイデンティティベースのポリシーをロールにアタッチして、モデル推論中またはエージェントの呼び出し中に、暗号化されたガードレールをそのロールで使用できるようにします。`{{key-id}}` を先ほど作成した KMS キーの ID に置き換えます。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}" } ] } ``` ------