Configuración de permisos para usar barreras de protección para filtrar contenido - Amazon Bedrock
Permisos para crear y administrar barreras de protección para el rol de la políticaPermisos que necesita para invocar las barreras de protección para filtrar el contenido(Opcional) Cree una clave administrada por el cliente para la barrera de protección para disponer de mayor seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de permisos para usar barreras de protección para filtrar contenido

Para configurar un rol con permisos para barreras de protección, cree un rol de IAM y asocie los siguientes permisos siguiendo los pasos que se indican en Crear un rol para delegar permisos a un servicio de AWS.

Si utiliza barreras de protección con un agente, asocie los permisos a un rol de servicio con permisos para crear y administrar agentes. Puede configurar este rol en la consola o crear un rol personalizado siguiendo los pasos que se indican en Creación de un rol de servicio para los agentes de Amazon Bedrock.

  • Permisos para invocar barreras de protección con modelos fundacionales

  • Permisos para crear y administrar barreras de protección

  • (Opcional) Permisos para descifrar la clave de AWS KMS administrada por el cliente para la barrera de protección

Permisos para crear y administrar barreras de protección para el rol de la política

Añada la siguiente instrucción al campo Statement de la política para que su rol utilice barreras de protección.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateGuardrail",
                "bedrock:CreateGuardrailVersion",
                "bedrock:DeleteGuardrail", 
                "bedrock:GetGuardrail", 
                "bedrock:ListGuardrails", 
                "bedrock:UpdateGuardrail"
            ],
            "Resource": "*"
        }
    ]   
}

Permisos que necesita para invocar las barreras de protección para filtrar el contenido

Agregue la siguiente instrucción al campo Statement de la política del rol para permitir la inferencia del modelo e invocar barreras de protección.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InvokeFoundationModel",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:InvokeModel", 
                 "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*"
            ]
        },
        {
            "Sid": "ApplyGuardrail",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:guardrail/guardrail-id"
            ]
        }
    ]   
}

(Opcional) Cree una clave administrada por el cliente para la barrera de protección para disponer de mayor seguridad

Cualquier usuario con permisos CreateKey puede crear claves administradas por el cliente mediante la consola de AWS Key Management Service (AWS KMS) o la operación CreateKey. Asegúrese de crear una clave de cifrado simétrica. Tras crear la clave, configure los siguientes permisos.

  1. Siga los pasos que se indican en Creating a key policy para crear una política basada en recursos para la clave de KMS. Agregue las siguientes instrucciones de la política para conceder permisos a los usuarios de barreras de protección y a los creadores de barreras de protección. Sustituya cada rol por el rol al que desee permitir que lleve a cabo las acciones especificadas.

    {
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUusers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }        
}

  2. Asocie la siguiente política basada en identidades a un rol para permitirle crear y administrar barreras de protección. Sustituya key-id por el ID de la clave de KMS que ha creado.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "Allow role to create and manage guardrails",
         "Effect": "Allow",
         "Action": [
            "kms:Decrypt", 
            "kms:DescribeKey", 
            "kms:GenerateDataKey" 
            "kms:CreateGrant"  
         ],
         "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

  3. Asocie la siguiente política basada en identidades a un rol para que pueda usar la barrera de protección cifrada durante la inferencia del modelo o al invocar a un agente. Sustituya key-id por el ID de la clave de KMS que ha creado.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow role to use an encrypted guardrail during model inference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}