ガードレールのアクセス許可を設定する - Amazon Bedrock
ガードレールを作成および管理するためのアクセス許可ガードレールを呼び出すアクセス許可(オプション) ガードレールのカスタマーマネージドキーを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ガードレールのアクセス許可を設定する

ガードレールを使用するアクセス許可を持つロールを設定するには、「AWS サービスにアクセス許可を委任するロールの作成」の手順に従って IAM ロールを作成し、次のアクセス許可をアタッチします。

エージェントでガードレールを使用している場合は、エージェントを作成および管理するためのアクセス許可を持つサービスロールにアクセス許可をアタッチします。コンソールでこのロールを設定するか、「」の手順に従ってカスタムロールを作成できますAgents for Amazon Bedrock のサービスロールを作成する

  • Amazon Bedrock 基盤モデルを呼び出すアクセス許可

  • ガードレールを作成および管理するためのアクセス許可

  • (オプション) ガードレールのカスタマーマネージド AWS KMS キーを復号化するアクセス許可

ガードレールを作成および管理するためのアクセス許可

次のステートメントをロールのポリシーの Statementフィールドに追加して、ガードレールを使用します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateGuardrail",
                "bedrock:CreateGuardrailVersion",
                "bedrock:DeleteGuardrail", 
                "bedrock:GetGuardrail", 
                "bedrock:ListGuardrails", 
                "bedrock:UpdateGuardrail"
            ],
            "Resource": "*"
        }
    ]   
}

ガードレールを呼び出すアクセス許可

次のステートメントをロールのポリシーの Statementフィールドに追加して、モデルの推論とガードレールの呼び出しを許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InvokeFoundationModel",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:InvokeModel", 
                 "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*"
            ]
        },
        {
            "Sid": "ApplyGuardrail",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:guardrail/guardrail-id"
            ]
        }
    ]   
}

(オプション) ガードレールのカスタマーマネージドキーを作成する

アクセスCreateKey許可を持つユーザーは、 AWS Key Management Service (AWS KMS) コンソールまたは CreateKeyオペレーションを使用してカスタマーマネージドキーを作成できます。必ず対称暗号化キーを作成してください。キーを作成したら、次のアクセス許可を設定します。

  1. 「キーポリシーの作成」の手順に従って、KMS キーのリソースベースのポリシーを作成します。次のポリシーステートメントを追加して、ガードレールユーザーとガードレール作成者にアクセス許可を付与します。各ロールを、指定されたアクションを実行することを許可するロールに置き換えます。

    {
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUusers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }        
}

  2. 次のアイデンティティベースのポリシーをロールにアタッチして、ガードレールの作成と管理を許可します。key-id を、作成した KMS キーの ID に置き換えます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "Allow role to create and manage guardrails",
         "Effect": "Allow",
         "Action": [
            "kms:Decrypt", 
            "kms:DescribeKey", 
            "kms:GenerateDataKey" 
            "kms:CreateGrant"  
         ],
         "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

  3. 次のアイデンティティベースのポリシーをロールにアタッチして、モデル推論中またはエージェントの呼び出し中に暗号化したガードレールを使用できるようにします。key-id を、作成した KMS キーの ID に置き換えます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow role to use an encrypted guardrail during model inference"
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}