Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configure los permisos para usar barandas para el filtrado de contenido
Para configurar un rol con permisos para las barandillas, cree un IAM rol y asocie los siguientes permisos siguiendo los pasos que se indican en Crear un rol para delegar permisos a un servicio. AWS
Si utiliza barandillas con un agente, asocie los permisos a un rol de servicio con permisos para crear y administrar agentes. Puede configurar este rol en la consola o crear un rol personalizado siguiendo los pasos que se indican en. Cree un rol de servicio para los agentes de Amazon Bedrock
-
Permisos para invocar barandas con modelos básicos
-
Permisos para crear y administrar barandas
-
(Opcional) Permisos para descifrar tus datos gestionados por el cliente AWS KMS clave para la barandilla
Permisos para crear y administrar barreras de protección para la función política
Añada la siguiente declaración al Statement
campo de la política para que su función utilice barandillas.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAndManageGuardrails", "Effect": "Allow", "Action": [ "bedrock:CreateGuardrail", "bedrock:CreateGuardrailVersion", "bedrock:DeleteGuardrail", "bedrock:GetGuardrail", "bedrock:ListGuardrails", "bedrock:UpdateGuardrail" ], "Resource": "*" } ] }
Permisos que necesita para invocar las barandillas para filtrar el contenido
Añada la siguiente declaración al Statement
campo de la política del rol para permitir la inferencia del modelo y la invocación de barreras de protección.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "InvokeFoundationModel", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": [ "arn:aws:bedrock:region::foundation-model/*" ] }, { "Sid": "ApplyGuardrail", "Effect": "Allow", "Action": [ "bedrock:ApplyGuardrail" ], "Resource": [ "arn:aws:bedrock:
region
:account-id
:guardrail/guardrail-id
" ] } ] }
(Opcional) Cree una clave gestionada por el cliente para su barandilla para mayor seguridad
Cualquier usuario con CreateKey
permisos puede crear claves gestionadas por el cliente mediante la AWS Key Management Service (AWS KMS) consola o la CreateKeyoperación. Asegúrese de crear una clave de cifrado simétrica. Tras crear la clave, configure los siguientes permisos.
-
Sigue los pasos que se indican en Crear una política de claves para crear una política basada en recursos para tu KMS clave. Añada las siguientes declaraciones de política para conceder permisos a los usuarios y a los creadores de guardrails. Sustituya cada
role
por el rol al que desee permitir que lleve a cabo las acciones especificadas.{ "Version": "2012-10-17", "Id": "KMS Key Policy", "Statement": [ { "Sid": "PermissionsForGuardrailsCreators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
account-id
:user/role
" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "PermissionsForGuardrailsUusers", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id
:user/role
" }, "Action": "kms:Decrypt", "Resource": "*" } } -
Adjunte la siguiente política basada en la identidad a un rol para permitirle crear y administrar barreras. Sustituya el
key-id
por el identificador de la KMS clave que ha creado.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to create and manage guardrails", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" "kms:CreateGrant" ], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
" } ] } -
Adjunte la siguiente política basada en la identidad a un rol para que pueda usar la barandilla que cifró durante la inferencia del modelo o al invocar a un agente. Sustituya el
key-id
por el identificador de la KMS clave que ha creado.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to use an encrypted guardrail during model inference", "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
" } ] }