Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configurar permisos para usar barandas
Para configurar un rol con permisos para barandas, cree un rol de IAM y adjunte los siguientes permisos siguiendo los pasos que se indican en Crear un rol para delegar permisos a un servicio de AWS.
Si utiliza barandillas con un agente, asocie los permisos a un rol de servicio con permisos para crear y administrar agentes. Puede configurar este rol en la consola o crear un rol personalizado siguiendo los pasos que se indican en. Cree un rol de servicio para los agentes de Amazon Bedrock
-
Permisos para invocar barandas con modelos básicos
-
Permisos para crear y administrar barandas
-
(Opcional) Permisos para descifrar la clave de la barandilla gestionada por el cliente AWS KMS
Permisos para crear y administrar barandas
Añada la siguiente declaración al Statement campo de la política de su rol para usar barandas.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAndManageGuardrails", "Effect": "Allow", "Action": [ "bedrock:CreateGuardrail", "bedrock:CreateGuardrailVersion", "bedrock:DeleteGuardrail", "bedrock:GetGuardrail", "bedrock:ListGuardrails", "bedrock:UpdateGuardrail" ], "Resource": "*" } ] }
Permisos para invocar barandas
Añada la siguiente declaración al Statement campo de la política del rol para permitir la inferencia del modelo y la invocación de barreras de protección.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "InvokeFoundationModel", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": [ "arn:aws:bedrock:region::foundation-model/*" ] }, { "Sid": "ApplyGuardrail", "Effect": "Allow", "Action": [ "bedrock:ApplyGuardrail" ], "Resource": [ "arn:aws:bedrock:region:account-id:guardrail/guardrail-id" ] } ] }
(Opcional) Cree una clave gestionada por el cliente para su barandilla
Cualquier usuario con CreateKey permisos puede crear claves gestionadas por el cliente mediante la consola AWS Key Management Service (AWS KMS) o mediante la CreateKeyoperación. Asegúrese de crear una clave de cifrado simétrica. Después de crear la clave, configura los siguientes permisos.
-
Siga los pasos que se indican en Creación de una política de claves para crear una política basada en recursos para su clave de KMS. Añada las siguientes declaraciones de política para conceder permisos a los usuarios y a los creadores de guardrails. Sustituya cada
rolpor el rol al que desee permitir que lleve a cabo las acciones especificadas.{ "Version": "2012-10-17", "Id": "KMS Key Policy", "Statement": [ { "Sid": "PermissionsForGuardrailsCreators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "PermissionsForGuardrailsUusers", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": "kms:Decrypt", "Resource": "*" } } -
Adjunta la siguiente política basada en la identidad a un rol para que pueda crear y administrar barreras. Sustituya el
identificador de clave por el identificadorde la clave de KMS que creó.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to create and manage guardrails", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" "kms:CreateGrant" ], "Resource": "arn:aws:kms:region:account-id:key/key-id" } ] } -
Adjunte la siguiente política basada en la identidad a un rol para que pueda usar la barandilla que cifró durante la inferencia del modelo o al invocar a un agente. Sustituya el identificador de
clave por el identificador dela clave KMS que creó.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to use an encrypted guardrail during model inference", "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": "arn:aws:kms:region:account-id:key/key-id" } ] }
