As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar permissões para guardrails
Para configurar uma função com permissões para usar grades de proteção, crie uma função do IAM e anexe as seguintes permissões seguindo as etapas em Criar uma função para delegar permissões a um serviço da AWS.
Se você estiver usando grades de proteção com um agente, anexe as permissões a uma função de serviço com permissões para criar e gerenciar agentes. Você pode configurar essa função no console ou criar uma função personalizada seguindo as etapas emCrie uma função de serviço para Agents for Amazon Bedrock.
-
Permissões para invocar modelos da Amazon Bedrock Foundation
-
Permissões para criar e gerenciar grades de proteção
-
(Opcional) Permissões para descriptografar sua chave gerenciada pelo cliente AWS KMS para o guardrail
Permissões para criar e gerenciar grades de proteção
Anexe a seguinte declaração ao Statement campo da política para que sua função use grades de proteção.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAndManageGuardrails", "Effect": "Allow", "Action": [ "bedrock:CreateGuardrail", "bedrock:CreateGuardrailVersion", "bedrock:DeleteGuardrail", "bedrock:GetGuardrail", "bedrock:ListGuardrails", "bedrock:UpdateGuardrail" ], "Resource": "*" } ] }
Permissões para invocar o guardrail
Anexe a seguinte declaração ao Statement campo na política da função para permitir a inferência do modelo e invocar grades de proteção.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "InvokeFoundationModel", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": [ "arn:aws:bedrock:region::foundation-model/*" ] }, { "Sid": "ApplyGuardrail", "Effect": "Allow", "Action": [ "bedrock:ApplyGuardrail" ], "Resource": [ "arn:aws:bedrock:region:account-id:guardrail/guardrail-id" ] } ] }
(Opcional) Crie uma chave gerenciada pelo cliente para sua grade de proteção
Qualquer usuário com CreateKey permissões pode criar chaves gerenciadas pelo cliente usando o console AWS Key Management Service (AWS KMS) ou a CreateKeyoperação. Certifique-se de criar uma chave de criptografia simétrica. Depois de criar sua chave, configure as seguintes permissões.
-
Siga as etapas em Criação de uma política de chaves para criar uma política baseada em recursos para sua chave KMS. Adicione as seguintes declarações de política para conceder permissões aos usuários e criadores de proteções. Substitua cada
funçãopela função que você deseja permitir para realizar as ações especificadas.{ "Version": "2012-10-17", "Id": "KMS Key Policy", "Statement": [ { "Sid": "PermissionsForGuardrailsCreators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "PermissionsForGuardrailsUusers", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": "kms:Decrypt", "Resource": "*" } } -
Anexe a seguinte política baseada em identidade a uma função para permitir que ela crie e gerencie grades de proteção. Substitua a
ID da chavepela ID da chave KMS que você criou.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to create and manage guardrails", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" "kms:CreateGrant" ], "Resource": "arn:aws:kms:region:account-id:key/key-id" } ] } -
Anexe a seguinte política baseada em identidade a uma função para permitir que ela use a grade de proteção que você criptografou durante a inferência do modelo ou ao invocar um agente. Substitua a
ID da chavepela ID da chave KMS que você criou.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to use an encrypted guardrail during model inference" "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": "arn:aws:kms:region:account-id:key/key-id" } ] }
