Berechtigungen für Guardrails einrichten - Amazon Bedrock
Berechtigungen zum Erstellen und Verwalten von GuardrailsBerechtigungen zum Aufrufen von Guardrail(Optional) Erstellen Sie einen vom Kunden verwalteten Schlüssel für Ihre Leitplanke

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für Guardrails einrichten

Um eine Rolle mit Berechtigungen zur Verwendung von Guardrails einzurichten, erstellen Sie eine IAM-Rolle und fügen Sie die folgenden Berechtigungen hinzu, indem Sie die Schritte unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service befolgen.

Wenn Sie Guardrails mit einem Agenten verwenden, fügen Sie die Berechtigungen einer Servicerolle mit Berechtigungen zum Erstellen und Verwalten von Agenten hinzu. Sie können diese Rolle in der Konsole einrichten oder eine benutzerdefinierte Rolle erstellen, indem Sie die Schritte unter ausführen. Erstellen Sie eine Servicerolle für Agenten für Amazon Bedrock

  • Berechtigungen zum Aufrufen von Amazon Bedrock Foundation-Modellen

  • Berechtigungen zum Erstellen und Verwalten von Leitplanken

  • (Optional) Berechtigungen zum Entschlüsseln Ihres vom Kunden verwalteten Schlüssels für die Guardrail AWS KMS

Berechtigungen zum Erstellen und Verwalten von Guardrails

Fügen Sie die folgende Anweisung an das Statement Feld in der Richtlinie für Ihre Rolle zur Verwendung von Guardrails an.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateGuardrail",
                "bedrock:CreateGuardrailVersion",
                "bedrock:DeleteGuardrail", 
                "bedrock:GetGuardrail", 
                "bedrock:ListGuardrails", 
                "bedrock:UpdateGuardrail"
            ],
            "Resource": "*"
        }
    ]   
}

Berechtigungen zum Aufrufen von Guardrail

Hängen Sie die folgende Anweisung an das Statement Feld in der Richtlinie für die Rolle an, um Modellinferenzen zu ermöglichen und Guardrails aufzurufen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InvokeFoundationModel",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:InvokeModel", 
                 "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*"
            ]
        },
        {
            "Sid": "ApplyGuardrail",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:guardrail/guardrail-id"
            ]
        }
    ]   
}

(Optional) Erstellen Sie einen vom Kunden verwalteten Schlüssel für Ihre Leitplanke

Jeder Benutzer mit CreateKey entsprechenden Berechtigungen kann vom Kunden verwaltete Schlüssel entweder über die AWS Key Management Service (AWS KMS) -Konsole oder über den CreateKeyVorgang erstellen. Stellen Sie sicher, dass Sie einen symmetrischen Verschlüsselungsschlüssel erstellen. Nachdem Sie Ihren Schlüssel erstellt haben, richten Sie die folgenden Berechtigungen ein.

  1. Folgen Sie den Schritten unter Erstellen einer Schlüsselrichtlinie, um eine ressourcenbasierte Richtlinie für Ihren KMS-Schlüssel zu erstellen. Fügen Sie die folgenden Richtlinienerklärungen hinzu, um Guardrails-Benutzern und Guardrails-Erstellern Berechtigungen zu gewähren. Ersetzen Sie jede Rolle durch die Rolle, der Sie die Ausführung der angegebenen Aktionen erlauben möchten.

    {
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUusers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }        
}

  2. Ordnen Sie einer Rolle die folgende identitätsbasierte Richtlinie zu, damit sie Leitplanken erstellen und verwalten kann. Ersetzen Sie die Schlüssel-ID durch die ID des KMS-Schlüssels, den Sie erstellt haben.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "Allow role to create and manage guardrails",
         "Effect": "Allow",
         "Action": [
            "kms:Decrypt", 
            "kms:DescribeKey", 
            "kms:GenerateDataKey" 
            "kms:CreateGrant"  
         ],
         "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

  3. Ordnen Sie einer Rolle die folgende identitätsbasierte Richtlinie zu, damit sie die Guardrail verwenden kann, die Sie während der Modellinferenz oder beim Aufrufen eines Agenten verschlüsselt haben. Ersetzen Sie die Schlüssel-ID durch die ID des KMS-Schlüssels, den Sie erstellt haben.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow role to use an encrypted guardrail during model inference"
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}