本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定使用護欄的權限
若要設定具有護欄許可的角色,請按照建立角色將許可委派給 AWS 服務中的步驟建立 IAM 角色並附加以下許可。
如果您要搭配代理程式使用護欄,請將權限附加至具有建立和管理代理程式之權限的服務角色。您可以在主控台中設定此角色,或按照中的步驟建立自訂角色為 Amazon 基岩的代理程式建立服務角色。
-
使用基礎模型調用護欄的權限
-
建立和管理護欄的權限
-
(選擇性) 為護欄解密客戶管理 AWS KMS 金鑰的權限
建立和管理護欄的權限
將下列陳述式附加至原則中的Statement
欄位,讓您的角色使用護欄。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAndManageGuardrails", "Effect": "Allow", "Action": [ "bedrock:CreateGuardrail", "bedrock:CreateGuardrailVersion", "bedrock:DeleteGuardrail", "bedrock:GetGuardrail", "bedrock:ListGuardrails", "bedrock:UpdateGuardrail" ], "Resource": "*" } ] }
叫用護欄的權限
將下列陳述式附加至角色原則中的Statement
欄位,以允許模型推論和叫用護欄。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "InvokeFoundationModel", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": [ "arn:aws:bedrock:region::foundation-model/*" ] }, { "Sid": "ApplyGuardrail", "Effect": "Allow", "Action": [ "bedrock:ApplyGuardrail" ], "Resource": [ "arn:aws:bedrock:
region
:account-id
:guardrail/guardrail-id
" ] } ] }
(選擇性) 建立護欄的客戶管理金鑰
任何具有CreateKey
權限的使用者都可以使用 AWS Key Management Service (AWS KMS) 主控台或CreateKey作業來建立客戶受管金鑰。請確保建立對稱加密金鑰。建立金鑰後,請設定下列權限。
-
請遵循建立金鑰原則中的步驟,為 KMS 金鑰建立以資源為基礎的政策。新增下列原則陳述式,以授與護欄使用者和護欄建立者的權限。將每個
角色
取代為您要允許執行指定動作的角色。{ "Version": "2012-10-17", "Id": "KMS Key Policy", "Statement": [ { "Sid": "PermissionsForGuardrailsCreators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
account-id
:user/role
" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "PermissionsForGuardrailsUusers", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id
:user/role
" }, "Action": "kms:Decrypt", "Resource": "*" } } -
將下列以身分識別為基礎的原則附加至角色,以允許其建立和管理護欄。將金
鑰識別碼
取代為您建立的 KMS 金鑰的識別碼。{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to create and manage guardrails", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" "kms:CreateGrant" ], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
" } ] } -
將下列以身分識別為基礎的原則附加至角色,以允許其在模型推論期間或叫用代理程式時使用您加密的防護。將金
鑰識別碼
取代為您建立的 KMS 金鑰的識別碼。{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to use an encrypted guardrail during model inference", "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
" } ] }