Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Um eine Rolle mit Berechtigungen für Guardrails einzurichten, erstellen Sie eine IAM-Rolle und fügen Sie die folgenden Berechtigungen hinzu, indem Sie die Schritte unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service befolgen.
Wenn Sie Guardrails mit einem Agenten verwenden, fügen Sie die Berechtigungen einer Servicerolle mit Berechtigungen zum Erstellen und Verwalten von Agenten hinzu. Sie können diese Rolle in der Konsole einrichten oder eine benutzerdefinierte Rolle erstellen, indem Sie die Schritte unter ausführen. Erstellen Sie eine Servicerolle für Amazon Bedrock Agents
-
Berechtigungen zum Aufrufen von Leitplanken mit Fundamentmodellen
-
Berechtigungen zum Erstellen und Verwalten von Leitplanken
-
(Optional) Berechtigungen zum Entschlüsseln Ihres vom Kunden verwalteten Schlüssels für die Guardrail AWS KMS
Berechtigungen zum Erstellen und Verwalten von Guardrails für die Policy-Rolle
Hängen Sie die folgende Anweisung an das Statement Feld in der Richtlinie für Ihre Rolle zur Verwendung von Guardrails an.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAndManageGuardrails",
"Effect": "Allow",
"Action": [
"bedrock:CreateGuardrail",
"bedrock:CreateGuardrailVersion",
"bedrock:DeleteGuardrail",
"bedrock:GetGuardrail",
"bedrock:ListGuardrails",
"bedrock:UpdateGuardrail"
],
"Resource": "*"
}
]
}Berechtigungen, die Sie benötigen, um Guardrails aufzurufen, um Inhalte zu filtern
Hängen Sie die folgende Aussage an das Statement Feld in der Richtlinie für die Rolle an, um Modellrückschlüsse zu ermöglichen und Leitplanken aufzurufen.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "InvokeFoundationModel",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:region::foundation-model/*"
]
},
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:region:account-id:guardrail/guardrail-id"
]
}
]
}(Optional) Erstellen Sie aus Sicherheitsgründen einen vom Kunden verwalteten Schlüssel für Ihre Leitplanke
Jeder Benutzer mit CreateKey entsprechenden Berechtigungen kann vom Kunden verwaltete Schlüssel entweder über die Konsole AWS Key Management Service (AWS KMS) oder über den CreateKeyVorgang erstellen. Stellen Sie sicher, dass Sie einen symmetrischen Verschlüsselungsschlüssel erstellen. Nachdem Sie Ihren Schlüssel erstellt haben, richten Sie die folgenden Berechtigungen ein.
-
Folgen Sie den Schritten unter Erstellen einer Schlüsselrichtlinie, um eine ressourcenbasierte Richtlinie für Ihren KMS-Schlüssel zu erstellen. Fügen Sie die folgenden Richtlinienerklärungen hinzu, um Guardrails-Benutzern und Guardrails-Erstellern Berechtigungen zu gewähren. Ersetzen Sie jede Rolle
roledurch die Rolle, der Sie die Ausführung der angegebenen Aktionen gestatten möchten.{ "Version": "2012-10-17", "Id": "KMS Key Policy", "Statement": [ { "Sid": "PermissionsForGuardrailsCreators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "PermissionsForGuardrailsUusers", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": "kms:Decrypt", "Resource": "*" } } -
Ordnen Sie einer Rolle die folgende identitätsbasierte Richtlinie zu, damit sie Leitplanken erstellen und verwalten kann. Ersetzen Sie das
key-iddurch die ID des KMS-Schlüssels, den Sie erstellt haben.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to create and manage guardrails", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" "kms:CreateGrant" ], "Resource": "arn:aws:kms:region:account-id:key/key-id" } ] } -
Ordnen Sie einer Rolle die folgende identitätsbasierte Richtlinie zu, damit sie die Guardrail verwenden kann, die Sie während der Modellinferenz oder beim Aufrufen eines Agenten verschlüsselt haben. Ersetzen Sie das durch die ID des
key-idKMS-Schlüssels, den Sie erstellt haben.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to use an encrypted guardrail during model inference", "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": "arn:aws:kms:region:account-id:key/key-id" } ] }
