Autorisations pour créer et gérer des garde-corps Autorisations pour invoquer un garde-corps (Facultatif) Créez une clé gérée par le client pour votre garde-corps

Configurer les autorisations pour Guardrails

Pour configurer un rôle autorisé à utiliser des barrières de sécurité, créez un rôle IAM et associez les autorisations suivantes en suivant les étapes de la section Création d'un rôle pour déléguer des autorisations à un service AWS.

Si vous utilisez des barrières de sécurité avec un agent, associez les autorisations à un rôle de service avec des autorisations permettant de créer et de gérer des agents. Vous pouvez configurer ce rôle dans la console ou créer un rôle personnalisé en suivant les étapes décrites dansCréation d'un rôle de service pour Agents for Amazon Bedrock.

Autorisations pour invoquer les modèles de la fondation Amazon Bedrock
Autorisations pour créer et gérer des garde-corps
(Facultatif) Autorisations pour déchiffrer la AWS KMS clé gérée par le client pour le garde-corps

Autorisations pour créer et gérer des garde-corps

Ajoutez la déclaration suivante au Statement champ de la politique relative à l'utilisation de garde-corps dans votre rôle.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateGuardrail",
                "bedrock:CreateGuardrailVersion",
                "bedrock:DeleteGuardrail", 
                "bedrock:GetGuardrail", 
                "bedrock:ListGuardrails", 
                "bedrock:UpdateGuardrail"
            ],
            "Resource": "*"
        }
    ]   
}

Autorisations pour invoquer un garde-corps

Ajoutez l'instruction suivante au Statement champ de la politique correspondant au rôle afin de permettre l'inférence du modèle et d'invoquer des garde-fous.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InvokeFoundationModel",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:InvokeModel", 
                 "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*"
            ]
        },
        {
            "Sid": "ApplyGuardrail",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:guardrail/guardrail-id"
            ]
        }
    ]   
}

(Facultatif) Créez une clé gérée par le client pour votre garde-corps

Tout utilisateur CreateKey autorisé peut créer des clés gérées par le client à l'aide de la console AWS Key Management Service (AWS KMS) ou de l'CreateKeyopération. Assurez-vous de créer une clé de chiffrement symétrique. Après avoir créé votre clé, configurez les autorisations suivantes.

Suivez les étapes de la section Création d'une politique clé pour créer une politique basée sur les ressources pour votre clé KMS. Ajoutez les déclarations de politique suivantes pour accorder des autorisations aux utilisateurs et aux créateurs de garde-corps. Remplacez chaque rôle par le rôle que vous souhaitez autoriser à effectuer les actions spécifiées.


{
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUusers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }        
}

Associez la politique basée sur l'identité suivante à un rôle pour lui permettre de créer et de gérer des barrières de sécurité. Remplacez le key-id par l'ID de la clé KMS que vous avez créée.


{
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "Allow role to create and manage guardrails",
         "Effect": "Allow",
         "Action": [
            "kms:Decrypt", 
            "kms:DescribeKey", 
            "kms:GenerateDataKey" 
            "kms:CreateGrant"  
         ],
         "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

Associez la politique basée sur l'identité suivante à un rôle pour lui permettre d'utiliser le garde-fou que vous avez chiffré lors de l'inférence du modèle ou lors de l'appel d'un agent. Remplacez le key-id par l'ID de la clé KMS que vous avez créée.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow role to use an encrypted guardrail during model inference"
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Réponses en streaming

Quotas