翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
コンテンツフィルタリングにガードレールを使用するアクセス許可を設定する
ガードレールのアクセス許可を持つロールを設定するには、「 サービスにアクセス許可を委任するロールの作成」の手順に従って、 IAMロールを作成し、次のアクセス許可をアタッチします。 AWS
エージェントでガードレールを使用している場合は、エージェントを作成および管理するためのアクセス許可を持つサービスロールにアクセス許可をアタッチします。コンソールでこのロールを設定するか、「」の手順に従ってカスタムロールを作成できますAmazon Bedrock Agents のサービスロールを作成する。
-
基盤モデルでガードレールを呼び出すアクセス許可
-
ガードレールを作成および管理するためのアクセス許可
-
(オプション) カスタマー管理の を復号化するアクセス許可 AWS KMS ガードレールの キー
ポリシーロールのガードレールを作成および管理するためのアクセス許可
次のステートメントをロールのポリシーの Statement
フィールドに追加して、ガードレールを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAndManageGuardrails", "Effect": "Allow", "Action": [ "bedrock:CreateGuardrail", "bedrock:CreateGuardrailVersion", "bedrock:DeleteGuardrail", "bedrock:GetGuardrail", "bedrock:ListGuardrails", "bedrock:UpdateGuardrail" ], "Resource": "*" } ] }
コンテンツをフィルタリングするためにガードレールを呼び出すために必要なアクセス許可
次のステートメントをロールのポリシーの Statement
フィールドに追加して、モデルの推論とガードレールの呼び出しを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "InvokeFoundationModel", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": [ "arn:aws:bedrock:region::foundation-model/*" ] }, { "Sid": "ApplyGuardrail", "Effect": "Allow", "Action": [ "bedrock:ApplyGuardrail" ], "Resource": [ "arn:aws:bedrock:
region
:account-id
:guardrail/guardrail-id
" ] } ] }
(オプション) セキュリティを強化するためにガードレールのカスタマーマネージドキーを作成する
アクセスCreateKey
許可を持つユーザーは、 のいずれかを使用してカスタマーマネージドキーを作成できます。 AWS Key Management Service (AWS KMS) コンソールまたは CreateKeyオペレーション。必ず対称暗号化キーを作成してください。キーを作成したら、次のアクセス許可を設定します。
-
「キーポリシーの作成」の手順に従って、KMSキーのリソースベースのポリシーを作成します。次のポリシーステートメントを追加して、ガードレールユーザーとガードレール作成者にアクセス許可を付与します。各 を置き換える
role
指定されたアクションを実行することを許可するロールを持つ 。{ "Version": "2012-10-17", "Id": "KMS Key Policy", "Statement": [ { "Sid": "PermissionsForGuardrailsCreators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
account-id
:user/role
" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "PermissionsForGuardrailsUusers", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id
:user/role
" }, "Action": "kms:Decrypt", "Resource": "*" } } -
次のアイデンティティベースのポリシーをロールにアタッチして、ガードレールの作成と管理を許可します。を置き換える
key-id
を、作成したKMSキーの ID に置き換えます。{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to create and manage guardrails", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" "kms:CreateGrant" ], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
" } ] } -
次のアイデンティティベースのポリシーをロールにアタッチして、モデル推論中またはエージェントの呼び出し中に暗号化したガードレールを使用できるようにします。を置き換える
key-id
を、作成したKMSキーの ID に置き換えます。{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to use an encrypted guardrail during model inference", "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
" } ] }