翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ガードレールのアクセス許可を設定する
ガードレールを使用するアクセス許可を持つロールを設定するには、「AWS サービスにアクセス許可を委任するロールの作成」の手順に従って IAM ロールを作成し、次のアクセス許可をアタッチします。
エージェントでガードレールを使用している場合は、エージェントを作成および管理するためのアクセス許可を持つサービスロールにアクセス許可をアタッチします。コンソールでこのロールを設定するか、「」の手順に従ってカスタムロールを作成できますAgents for Amazon Bedrock のサービスロールを作成する。
-
Amazon Bedrock 基盤モデルを呼び出すアクセス許可
-
ガードレールを作成および管理するためのアクセス許可
-
(オプション) ガードレールのカスタマーマネージド AWS KMS キーを復号化するアクセス許可
ガードレールを作成および管理するためのアクセス許可
次のステートメントをロールのポリシーの Statement
フィールドに追加して、ガードレールを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAndManageGuardrails", "Effect": "Allow", "Action": [ "bedrock:CreateGuardrail", "bedrock:CreateGuardrailVersion", "bedrock:DeleteGuardrail", "bedrock:GetGuardrail", "bedrock:ListGuardrails", "bedrock:UpdateGuardrail" ], "Resource": "*" } ] }
ガードレールを呼び出すアクセス許可
次のステートメントをロールのポリシーの Statement
フィールドに追加して、モデルの推論とガードレールの呼び出しを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "InvokeFoundationModel", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": [ "arn:aws:bedrock:region::foundation-model/*" ] }, { "Sid": "ApplyGuardrail", "Effect": "Allow", "Action": [ "bedrock:ApplyGuardrail" ], "Resource": [ "arn:aws:bedrock:
region
:account-id
:guardrail/guardrail-id
" ] } ] }
(オプション) ガードレールのカスタマーマネージドキーを作成する
アクセスCreateKey
許可を持つユーザーは、 AWS Key Management Service (AWS KMS) コンソールまたは CreateKeyオペレーションを使用してカスタマーマネージドキーを作成できます。必ず対称暗号化キーを作成してください。キーを作成したら、次のアクセス許可を設定します。
-
「キーポリシーの作成」の手順に従って、KMS キーのリソースベースのポリシーを作成します。次のポリシーステートメントを追加して、ガードレールユーザーとガードレール作成者にアクセス許可を付与します。各
ロール
を、指定されたアクションを実行することを許可するロールに置き換えます。{ "Version": "2012-10-17", "Id": "KMS Key Policy", "Statement": [ { "Sid": "PermissionsForGuardrailsCreators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
account-id
:user/role
" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "PermissionsForGuardrailsUusers", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id
:user/role
" }, "Action": "kms:Decrypt", "Resource": "*" } } -
次のアイデンティティベースのポリシーをロールにアタッチして、ガードレールの作成と管理を許可します。
key-id
を、作成した KMS キーの ID に置き換えます。{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to create and manage guardrails", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" "kms:CreateGrant" ], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
" } ] } -
次のアイデンティティベースのポリシーをロールにアタッチして、モデル推論中またはエージェントの呼び出し中に暗号化したガードレールを使用できるようにします。
key-id
を、作成した KMS キーの ID に置き換えます。{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to use an encrypted guardrail during model inference" "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
" } ] }