Richten Sie Berechtigungen für die Verwendung von Leitplanken für die Inhaltsfilterung ein - Amazon Bedrock
Berechtigungen zum Erstellen und Verwalten von Leitplanken für die Policy-RolleBerechtigungen, die Sie benötigen, um Guardrails aufzurufen, um Inhalte zu filtern(Optional) Erstellen Sie aus Sicherheitsgründen einen vom Kunden verwalteten Schlüssel für Ihre Leitplanke

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie Berechtigungen für die Verwendung von Leitplanken für die Inhaltsfilterung ein

Um eine Rolle mit Berechtigungen für Guardrails einzurichten, erstellen Sie eine IAM Rolle und fügen Sie die folgenden Berechtigungen hinzu, indem Sie die Schritte unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen Dienst ausführen. AWS

Wenn Sie Guardrails mit einem Agenten verwenden, fügen Sie die Berechtigungen einer Servicerolle mit Berechtigungen zum Erstellen und Verwalten von Agenten hinzu. Sie können diese Rolle in der Konsole einrichten oder eine benutzerdefinierte Rolle erstellen, indem Sie die Schritte unter ausführen. Erstellen Sie eine Servicerolle für Amazon Bedrock Agents

  • Berechtigungen zum Aufrufen von Leitplanken mit Fundamentmodellen

  • Berechtigungen zum Erstellen und Verwalten von Leitplanken

  • (Optional) Vom Kunden verwaltete Berechtigungen zur Entschlüsselung Ihrer Daten AWS KMS Schlüssel für die Leitplanke

Berechtigungen zum Erstellen und Verwalten von Leitplanken für die Policy-Rolle

Hängen Sie die folgende Anweisung an das Statement Feld in der Richtlinie für Ihre Rolle zur Verwendung von Guardrails an.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateGuardrail",
                "bedrock:CreateGuardrailVersion",
                "bedrock:DeleteGuardrail", 
                "bedrock:GetGuardrail", 
                "bedrock:ListGuardrails", 
                "bedrock:UpdateGuardrail"
            ],
            "Resource": "*"
        }
    ]   
}

Berechtigungen, die Sie benötigen, um Guardrails aufzurufen, um Inhalte zu filtern

Hängen Sie die folgende Aussage an das Statement Feld in der Richtlinie für die Rolle an, um Modellrückschlüsse zu ermöglichen und Leitplanken aufzurufen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InvokeFoundationModel",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:InvokeModel", 
                 "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*"
            ]
        },
        {
            "Sid": "ApplyGuardrail",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:guardrail/guardrail-id"
            ]
        }
    ]   
}

(Optional) Erstellen Sie aus Sicherheitsgründen einen vom Kunden verwalteten Schlüssel für Ihre Leitplanke

Jeder Benutzer mit CreateKey entsprechenden Berechtigungen kann vom Kunden verwaltete Schlüssel erstellen, indem er entweder AWS Key Management Service (AWS KMS) Konsole oder die CreateKeyOperation. Stellen Sie sicher, dass Sie einen symmetrischen Verschlüsselungsschlüssel erstellen. Nachdem Sie Ihren Schlüssel erstellt haben, richten Sie die folgenden Berechtigungen ein.

  1. Folgen Sie den Schritten unter Erstellen einer Schlüsselrichtlinie, um eine ressourcenbasierte Richtlinie für Ihren KMS Schlüssel zu erstellen. Fügen Sie die folgenden Richtlinienerklärungen hinzu, um Guardrails-Benutzern und Guardrails-Erstellern Berechtigungen zu gewähren. Ersetze jedes role durch die Rolle, der Sie erlauben möchten, die angegebenen Aktionen auszuführen.

    {
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUusers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }        
}

  2. Ordnen Sie einer Rolle die folgende identitätsbasierte Richtlinie zu, damit sie Leitplanken erstellen und verwalten kann. Ersetzen Sie das key-id durch die ID des KMS Schlüssels, den Sie erstellt haben.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "Allow role to create and manage guardrails",
         "Effect": "Allow",
         "Action": [
            "kms:Decrypt", 
            "kms:DescribeKey", 
            "kms:GenerateDataKey" 
            "kms:CreateGrant"  
         ],
         "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

  3. Ordnen Sie einer Rolle die folgende identitätsbasierte Richtlinie zu, damit sie die Guardrail verwenden kann, die Sie während der Modellinferenz oder beim Aufrufen eines Agenten verschlüsselt haben. Ersetzen Sie das key-id durch die ID des KMS Schlüssels, den Sie erstellt haben.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow role to use an encrypted guardrail during model inference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}