Permissões para criar e gerenciar barreiras de proteção para o perfil de política Permissões necessárias para invocar barreiras de proteção para filtrar conteúdo (Opcional) Criar uma chave gerenciada pelo cliente para a barreira de proteção para obter segurança adicional

Configurar permissões para usar barreiras de proteção para filtragem de conteúdo

Para usar um perfil com permissões para barreiras de proteção, crie um perfil do IAM e anexe as permissões abaixo seguindo as etapas em Criar um perfil para delegar permissões a um serviço da AWS.

Se estiver usando barreiras de proteção com um agente, anexe as permissões a um perfil de serviço com autorização para criar e gerenciar agentes. É possível configurar esse perfil no console ou criar um perfil personalizado de acordo com as etapas em Criar um perfil de serviço para o Amazon Bedrock Agents.

Permissões para invocar barreiras de proteção com modelos de base
Permissões para criar e gerenciar barreiras de proteção
(Opcional) Permissões para descriptografar sua chave gerenciada pelo cliente AWS KMS para o guardrail

Permissões para criar e gerenciar barreiras de proteção para o perfil de política

Anexe a declaração a seguir ao campo Statement da política para que o perfil use barreiras de proteção.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateGuardrail",
                "bedrock:CreateGuardrailVersion",
                "bedrock:DeleteGuardrail", 
                "bedrock:GetGuardrail", 
                "bedrock:ListGuardrails", 
                "bedrock:UpdateGuardrail"
            ],
            "Resource": "*"
        }
    ]   
}

Permissões necessárias para invocar barreiras de proteção para filtrar conteúdo

Anexe a declaração a seguir ao campo Statement na política para o perfil permitir inferência de modelo e a invocação de barreiras de proteção.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InvokeFoundationModel",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:InvokeModel", 
                 "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*"
            ]
        },
        {
            "Sid": "ApplyGuardrail",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:guardrail/guardrail-id"
            ]
        }
    ]   
}

(Opcional) Criar uma chave gerenciada pelo cliente para a barreira de proteção para obter segurança adicional

Qualquer usuário com CreateKey permissões pode criar chaves gerenciadas pelo cliente usando o console AWS Key Management Service (AWS KMS) ou a CreateKeyoperação. Crie uma chave de criptografia simétrica. Depois de criar a chave, configure as permissões a seguir.

Siga as etapas em Criar uma política de chaves para criar uma política baseada em recurso para a chave do KMS. Adicione as declarações de política a seguir para conceder permissões aos usuários e criadores das barreiras de proteção. roleSubstitua cada uma pela função que você deseja permitir para realizar as ações especificadas.


{
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUusers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }        
}

Anexe a política baseada em identidade a seguir para permitir que ela crie e gerencie barreiras de proteção. key-idSubstitua o pelo ID da chave KMS que você criou.


{
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "Allow role to create and manage guardrails",
         "Effect": "Allow",
         "Action": [
            "kms:Decrypt", 
            "kms:DescribeKey", 
            "kms:GenerateDataKey" 
            "kms:CreateGrant"  
         ],
         "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

Anexe a política baseada em identidade a seguir a um perfil para permitir que ele use a barreira de proteção que você criptografou durante a inferência do modelo ou ao invocar um agente. key-idSubstitua o pelo ID da chave KMS que você criou.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow role to use an encrypted guardrail during model inference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criar uma barreira de proteção

Testar uma barreira de proteção