Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Configurez des autorisations pour utiliser des barrières de sécurité pour le filtrage du contenu

RSS
Mode de mise au point
Configurez des autorisations pour utiliser des barrières de sécurité pour le filtrage du contenu - Amazon Bedrock
Autorisations permettant de créer et de gérer des garde-fous pour le rôle de politiqueAutorisations dont vous avez besoin pour invoquer des barrières de sécurité afin de filtrer le contenu(Facultatif) Créez une clé gérée par le client pour votre garde-corps afin de renforcer la sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour configurer un rôle avec des autorisations pour les garde-corps, créez un rôle IAM et associez les autorisations suivantes en suivant les étapes de la section Création d'un rôle pour déléguer des autorisations à un service AWS.

Si vous utilisez des barrières de sécurité avec un agent, associez les autorisations à un rôle de service avec des autorisations permettant de créer et de gérer des agents. Vous pouvez configurer ce rôle dans la console ou créer un rôle personnalisé en suivant les étapes décrites dansCréation d'un rôle de service pour Amazon Bedrock Agents.

  • Autorisations permettant d'invoquer des barrières de sécurité avec les modèles de base

  • Autorisations pour créer et gérer des garde-corps

  • (Facultatif) Autorisations pour déchiffrer la AWS KMS clé gérée par le client pour le garde-corps

Autorisations permettant de créer et de gérer des garde-fous pour le rôle de politique

Ajoutez la déclaration suivante au Statement champ de la politique relative à l'utilisation de garde-corps dans votre rôle.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateGuardrail",
                "bedrock:CreateGuardrailVersion",
                "bedrock:DeleteGuardrail", 
                "bedrock:GetGuardrail", 
                "bedrock:ListGuardrails", 
                "bedrock:UpdateGuardrail"
            ],
            "Resource": "*"
        }
    ]   
}

Autorisations dont vous avez besoin pour invoquer des barrières de sécurité afin de filtrer le contenu

Ajoutez l'instruction suivante au Statement champ de la politique correspondant au rôle afin de permettre l'inférence du modèle et d'invoquer des garde-fous.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InvokeFoundationModel",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:InvokeModel", 
                 "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*"
            ]
        },
        {
            "Sid": "ApplyGuardrail",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:guardrail/guardrail-id"
            ]
        }
    ]   
}

(Facultatif) Créez une clé gérée par le client pour votre garde-corps afin de renforcer la sécurité

Tout utilisateur CreateKey autorisé peut créer des clés gérées par le client à l'aide de la console AWS Key Management Service (AWS KMS) ou de l'CreateKeyopération. Assurez-vous de créer une clé de chiffrement symétrique. Après avoir créé votre clé, configurez les autorisations suivantes.

  1. Suivez les étapes de la section Création d'une politique clé pour créer une politique basée sur les ressources pour votre clé KMS. Ajoutez les déclarations de politique suivantes pour accorder des autorisations aux utilisateurs et aux créateurs de garde-corps. Remplacez chacun role par le rôle que vous souhaitez autoriser à effectuer les actions spécifiées.

    {
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUusers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }        
}

  2. Associez la politique basée sur l'identité suivante à un rôle pour lui permettre de créer et de gérer des barrières de sécurité. Remplacez le key-id par l'ID de la clé KMS que vous avez créée.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "Allow role to create and manage guardrails",
         "Effect": "Allow",
         "Action": [
            "kms:Decrypt", 
            "kms:DescribeKey", 
            "kms:GenerateDataKey" 
            "kms:CreateGrant"  
         ],
         "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

  3. Associez la politique basée sur l'identité suivante à un rôle pour lui permettre d'utiliser le garde-fou que vous avez chiffré lors de l'inférence du modèle ou lors de l'appel d'un agent. Remplacez le key-id par l'ID de la clé KMS que vous avez créée.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow role to use an encrypted guardrail during model inference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

Sur cette page

Related resources

Amazon Bedrock Référence d'API
AWS CLI commandes pour Amazon Bedrock
SDKs et outils 

Related resources

Amazon Bedrock Référence d'API
AWS CLI commandes pour Amazon Bedrock
SDKs et outils 

Rubrique suivante :

Testez un garde-corps

Rubrique précédente :

Créez un garde-corps

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.