As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Para usar um perfil com permissões para barreiras de proteção, crie um perfil do IAM e anexe as permissões abaixo seguindo as etapas em Criar um perfil para delegar permissões a um serviço da AWS.
Se estiver usando barreiras de proteção com um agente, anexe as permissões a um perfil de serviço com autorização para criar e gerenciar agentes. É possível configurar esse perfil no console ou criar um perfil personalizado de acordo com as etapas em Criar um perfil de serviço para o Amazon Bedrock Agents.
-
Permissões para invocar barreiras de proteção com modelos de base
-
Permissões para criar e gerenciar barreiras de proteção
-
(Opcional) Permissões para descriptografar sua chave do AWS KMS gerenciada pelo cliente para as barreiras de proteção
Permissões para criar e gerenciar barreiras de proteção para o perfil de política
Anexe a declaração a seguir ao campo Statement
da política para que o perfil use barreiras de proteção.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:CreateGuardrailVersion",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails",
"bedrock:UpdateGuardrail"
],
"Resource": "*"
}
]
}
Permissões necessárias para invocar barreiras de proteção para filtrar conteúdo
Anexe a declaração a seguir ao campo Statement
na política para o perfil permitir inferência de modelo e a invocação de barreiras de proteção.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModel",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:region::foundation-model/*"
]
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:region
:account-id
:guardrail/guardrail-id
"
]
}
]
}
(Opcional) Criar uma chave gerenciada pelo cliente para a barreira de proteção para obter segurança adicional
Qualquer usuário com permissões CreateKey
pode criar chaves gerenciadas pelo cliente usando o console do AWS Key Management Service (AWS KMS) ou a operação CreateKey. Crie uma chave de criptografia simétrica. Depois de criar a chave, configure as permissões a seguir.
-
Siga as etapas em Criar uma política de chaves para criar uma política baseada em recurso para a chave do KMS. Adicione as declarações de política a seguir para conceder permissões aos usuários e criadores das barreiras de proteção. Substitua cada
perfil
pelo perfil ao qual você deseja conceder permissão para executar as ações especificadas.{ "Version": "2012-10-17", "Id": "KMS Key Policy", "Statement": [ { "Sid": "PermissionsForGuardrailsCreators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
account-id
:user/role
" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "PermissionsForGuardrailsUusers", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id
:user/role
" }, "Action": "kms:Decrypt", "Resource": "*" } } -
Anexe a política baseada em identidade a seguir para permitir que ela crie e gerencie barreiras de proteção. Substitua o
key-id
pelo ID da chave do KMS que você criou.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to create and manage guardrails", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" "kms:CreateGrant" ], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
" } ] } -
Anexe a política baseada em identidade a seguir a um perfil para permitir que ele use a barreira de proteção que você criptografou durante a inferência do modelo ou ao invocar um agente. Substitua o
key-id
pelo ID da chave do KMS que você criou.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to use an encrypted guardrail during model inference", "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
" } ] }