(Opcional) Criar uma chave gerenciada pelo cliente para a barreira de proteção para obter segurança adicional - Amazon Bedrock

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

(Opcional) Criar uma chave gerenciada pelo cliente para a barreira de proteção para obter segurança adicional

Você criptografa suas grades de proteção com o Customer Managed. AWS KMS keys Qualquer usuário com CreateKey permissões pode criar chaves gerenciadas pelo cliente usando o console ou a CreateKeyoperação AWS Key Management Service (AWS KMS). Nessas situações, crie uma chave de criptografia simétrica.

Depois de criar a chave, configure as políticas de permissão a seguir.

  1. Faça o seguinte para criar uma política de chave baseada em recurso:

    1. Crie uma política de chave para criar uma política baseada em recursos para a chave do KMS.

    2. Adicione as declarações de política a seguir para conceder permissões aos usuários e criadores das barreiras de proteção. Substitua cada role pelo perfil ao qual você deseja conceder permissão para executar as ações especificadas.

      JSON
      {
    "Version":"2012-10-17",
    "Id": "KMS key policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUsers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }
    ]
}

  2. Anexe a política baseada em identidade a seguir para permitir que ela crie e gerencie barreiras de proteção. Substitua o key-id pelo ID da chave do KMS que você criou.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRoleToCreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:CreateGrant"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}

  3. Anexe a política baseada em identidade a seguir a um perfil para permitir que ele use a barreira de proteção que você criptografou durante a inferência do modelo ou ao invocar um agente. Substitua o key-id pelo ID da chave do KMS que você criou.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRoleToUseEncryptedGuardrailDuringInference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}