Imposta le autorizzazioni per Guardrails - Amazon Bedrock
Autorizzazioni per creare e gestire guardrailAutorizzazioni per invocare guardrail(Facoltativo) Crea una chiave gestita dal cliente per il tuo guardrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Imposta le autorizzazioni per Guardrails

Per configurare un ruolo con autorizzazioni per utilizzare i guardrail, crea un ruolo IAM e allega le seguenti autorizzazioni seguendo i passaggi descritti in Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS.

Se utilizzi guardrails con un agente, associa le autorizzazioni a un ruolo di servizio con autorizzazioni per creare e gestire agenti. Puoi configurare questo ruolo nella console o creare un ruolo personalizzato seguendo i passaggi riportati in. Crea un ruolo di servizio per Agents for Amazon Bedrock

  • Autorizzazioni per richiamare i modelli Amazon Bedrock Foundation

  • Autorizzazioni per creare e gestire guardrail

  • (Facoltativo) Autorizzazioni per decrittografare la chiave gestita dal cliente per il guardrail AWS KMS

Autorizzazioni per creare e gestire guardrail

Aggiungi la seguente dichiarazione al Statement campo della politica relativa al tuo ruolo di utilizzo dei guardrails.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateGuardrail",
                "bedrock:CreateGuardrailVersion",
                "bedrock:DeleteGuardrail", 
                "bedrock:GetGuardrail", 
                "bedrock:ListGuardrails", 
                "bedrock:UpdateGuardrail"
            ],
            "Resource": "*"
        }
    ]   
}

Autorizzazioni per invocare guardrail

Aggiungi la seguente dichiarazione al Statement campo della politica del ruolo per consentire l'inferenza del modello e richiamare i guardrail.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InvokeFoundationModel",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:InvokeModel", 
                 "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*"
            ]
        },
        {
            "Sid": "ApplyGuardrail",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:guardrail/guardrail-id"
            ]
        }
    ]   
}

(Facoltativo) Crea una chiave gestita dal cliente per il tuo guardrail

Qualsiasi utente con CreateKey autorizzazioni può creare chiavi gestite dal cliente utilizzando la console AWS Key Management Service (AWS KMS) o l'CreateKeyoperazione. Assicurati di creare una chiave di crittografia simmetrica. Dopo aver creato la chiave, imposta le seguenti autorizzazioni.

  1. Segui i passaggi riportati in Creazione di una politica chiave per creare una politica basata sulle risorse per la tua chiave KMS. Aggiungi le seguenti dichiarazioni politiche per concedere le autorizzazioni agli utenti di guardrails e ai creatori di guardrails. Sostituisci ogni ruolo con il ruolo a cui desideri consentire di eseguire le azioni specificate.

    {
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUusers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }        
}

  2. Allega la seguente politica basata sull'identità a un ruolo per consentirgli di creare e gestire i guardrail. Sostituisci il key-id con l'ID della chiave KMS che hai creato.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "Allow role to create and manage guardrails",
         "Effect": "Allow",
         "Action": [
            "kms:Decrypt", 
            "kms:DescribeKey", 
            "kms:GenerateDataKey" 
            "kms:CreateGrant"  
         ],
         "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

  3. Allega la seguente politica basata sull'identità a un ruolo per consentirgli di utilizzare il guardrail che hai crittografato durante l'inferenza del modello o durante l'invocazione di un agente. Sostituisci il key-id con l'ID della chiave KMS che hai creato.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow role to use an encrypted guardrail during model inference"
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}