Imposta le autorizzazioni per utilizzare i guardrail per il filtraggio dei contenuti - Amazon Bedrock
Autorizzazioni per creare e gestire barriere per il ruolo politicoAutorizzazioni necessarie per richiamare i guardrails per filtrare i contenuti(Facoltativo) Crea una chiave gestita dal cliente per il tuo guardrail per una maggiore sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Imposta le autorizzazioni per utilizzare i guardrail per il filtraggio dei contenuti

Per impostare un ruolo con autorizzazioni per i guardrail, crea un IAM ruolo e allega le seguenti autorizzazioni seguendo i passaggi in Creazione di un ruolo per delegare le autorizzazioni a un servizio. AWS

Se utilizzi guardrails con un agente, collega le autorizzazioni a un ruolo di servizio con autorizzazioni per creare e gestire agenti. Puoi configurare questo ruolo nella console o creare un ruolo personalizzato seguendo i passaggi riportati in. Crea un ruolo di servizio per Amazon Bedrock Agents

  • Autorizzazioni per invocare guardrail con modelli di base

  • Autorizzazioni per creare e gestire guardrail

  • (Facoltativo) Autorizzazioni per decrittografare i dati gestiti dal cliente AWS KMS chiave per il guardrail

Autorizzazioni per creare e gestire barriere per il ruolo politico

Aggiungi la seguente dichiarazione al Statement campo della politica relativa al tuo ruolo di utilizzo dei guardrail.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateGuardrail",
                "bedrock:CreateGuardrailVersion",
                "bedrock:DeleteGuardrail", 
                "bedrock:GetGuardrail", 
                "bedrock:ListGuardrails", 
                "bedrock:UpdateGuardrail"
            ],
            "Resource": "*"
        }
    ]   
}

Autorizzazioni necessarie per richiamare i guardrails per filtrare i contenuti

Aggiungi la seguente dichiarazione al Statement campo della politica relativa al ruolo per consentire l'inferenza del modello e invocare i guardrail.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InvokeFoundationModel",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:InvokeModel", 
                 "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*"
            ]
        },
        {
            "Sid": "ApplyGuardrail",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:guardrail/guardrail-id"
            ]
        }
    ]   
}

(Facoltativo) Crea una chiave gestita dal cliente per il tuo guardrail per una maggiore sicurezza

Qualsiasi utente con CreateKey autorizzazioni può creare chiavi gestite dal cliente utilizzando uno dei AWS Key Management Service (AWS KMS) console o l'CreateKeyoperazione. Assicurati di creare una chiave di crittografia simmetrica. Dopo aver creato la chiave, imposta le seguenti autorizzazioni.

  1. Segui i passaggi riportati in Creazione di una politica chiave per creare una politica basata sulle risorse per la tua chiave. KMS Aggiungi le seguenti dichiarazioni politiche per concedere le autorizzazioni agli utenti di guardrails e ai creatori di guardrails. Sostituisci ciascuno role con il ruolo a cui vuoi consentire di eseguire le azioni specificate.

    {
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUusers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }        
}

  2. Allega la seguente politica basata sull'identità a un ruolo per consentirgli di creare e gestire i guardrail. Sostituisci il key-id con l'ID della KMS chiave che hai creato.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "Allow role to create and manage guardrails",
         "Effect": "Allow",
         "Action": [
            "kms:Decrypt", 
            "kms:DescribeKey", 
            "kms:GenerateDataKey" 
            "kms:CreateGrant"  
         ],
         "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

  3. Allega la seguente politica basata sull'identità a un ruolo per consentirgli di utilizzare il guardrail che hai crittografato durante l'inferenza del modello o durante l'invocazione di un agente. Sostituisci il key-id con l'ID della KMS chiave che hai creato.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow role to use an encrypted guardrail during model inference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}