Configure los permisos para usar barandas para el filtrado de contenido - Amazon Bedrock
Permisos para crear y administrar barreras de protección para la función políticaPermisos que necesita para invocar las barandillas para filtrar el contenido(Opcional) Cree una clave gestionada por el cliente para su barandilla para mayor seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure los permisos para usar barandas para el filtrado de contenido

Para configurar un rol con permisos para las barandillas, cree un IAM rol y asocie los siguientes permisos siguiendo los pasos que se indican en Crear un rol para delegar permisos a un servicio. AWS

Si utiliza barandillas con un agente, asocie los permisos a un rol de servicio con permisos para crear y administrar agentes. Puede configurar este rol en la consola o crear un rol personalizado siguiendo los pasos que se indican en. Cree un rol de servicio para los agentes de Amazon Bedrock

  • Permisos para invocar barandas con modelos básicos

  • Permisos para crear y administrar barandas

  • (Opcional) Permisos para descifrar tus datos gestionados por el cliente AWS KMS clave para la barandilla

Permisos para crear y administrar barreras de protección para la función política

Añada la siguiente declaración al Statement campo de la política para que su función utilice barandillas.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateGuardrail",
                "bedrock:CreateGuardrailVersion",
                "bedrock:DeleteGuardrail", 
                "bedrock:GetGuardrail", 
                "bedrock:ListGuardrails", 
                "bedrock:UpdateGuardrail"
            ],
            "Resource": "*"
        }
    ]   
}

Permisos que necesita para invocar las barandillas para filtrar el contenido

Añada la siguiente declaración al Statement campo de la política del rol para permitir la inferencia del modelo y la invocación de barreras de protección.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InvokeFoundationModel",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:InvokeModel", 
                 "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*"
            ]
        },
        {
            "Sid": "ApplyGuardrail",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:guardrail/guardrail-id"
            ]
        }
    ]   
}

(Opcional) Cree una clave gestionada por el cliente para su barandilla para mayor seguridad

Cualquier usuario con CreateKey permisos puede crear claves gestionadas por el cliente mediante la AWS Key Management Service (AWS KMS) consola o la CreateKeyoperación. Asegúrese de crear una clave de cifrado simétrica. Tras crear la clave, configure los siguientes permisos.

  1. Sigue los pasos que se indican en Crear una política de claves para crear una política basada en recursos para tu KMS clave. Añada las siguientes declaraciones de política para conceder permisos a los usuarios y a los creadores de guardrails. Sustituya cada role por el rol al que desee permitir que lleve a cabo las acciones especificadas.

    {
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUusers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }        
}

  2. Adjunte la siguiente política basada en la identidad a un rol para permitirle crear y administrar barreras. Sustituya el key-id por el identificador de la KMS clave que ha creado.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "Allow role to create and manage guardrails",
         "Effect": "Allow",
         "Action": [
            "kms:Decrypt", 
            "kms:DescribeKey", 
            "kms:GenerateDataKey" 
            "kms:CreateGrant"  
         ],
         "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

  3. Adjunte la siguiente política basada en la identidad a un rol para que pueda usar la barandilla que cifró durante la inferencia del modelo o al invocar a un agente. Sustituya el key-id por el identificador de la KMS clave que ha creado.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow role to use an encrypted guardrail during model inference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}