コンテンツフィルタリングにガードレールを使用するアクセス許可を設定する - Amazon Bedrock

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンテンツフィルタリングにガードレールを使用するアクセス許可を設定する

ガードレールのアクセス許可を持つロールを設定するには、「 サービスにアクセス許可を委任するロールの作成」の手順に従って、 IAMロールを作成し、次のアクセス許可をアタッチします。 AWS

エージェントでガードレールを使用している場合は、エージェントを作成および管理するためのアクセス許可を持つサービスロールにアクセス許可をアタッチします。コンソールでこのロールを設定するか、「」の手順に従ってカスタムロールを作成できますAmazon Bedrock Agents のサービスロールを作成する

  • 基盤モデルでガードレールを呼び出すアクセス許可

  • ガードレールを作成および管理するためのアクセス許可

  • (オプション) カスタマー管理の を復号化するアクセス許可 AWS KMS ガードレールの キー

ポリシーロールのガードレールを作成および管理するためのアクセス許可

次のステートメントをロールのポリシーの Statementフィールドに追加して、ガードレールを使用します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAndManageGuardrails", "Effect": "Allow", "Action": [ "bedrock:CreateGuardrail", "bedrock:CreateGuardrailVersion", "bedrock:DeleteGuardrail", "bedrock:GetGuardrail", "bedrock:ListGuardrails", "bedrock:UpdateGuardrail" ], "Resource": "*" } ] }

コンテンツをフィルタリングするためにガードレールを呼び出すために必要なアクセス許可

次のステートメントをロールのポリシーの Statementフィールドに追加して、モデルの推論とガードレールの呼び出しを許可します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "InvokeFoundationModel", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": [ "arn:aws:bedrock:region::foundation-model/*" ] }, { "Sid": "ApplyGuardrail", "Effect": "Allow", "Action": [ "bedrock:ApplyGuardrail" ], "Resource": [ "arn:aws:bedrock:region:account-id:guardrail/guardrail-id" ] } ] }

(オプション) セキュリティを強化するためにガードレールのカスタマーマネージドキーを作成する

アクセスCreateKey許可を持つユーザーは、 のいずれかを使用してカスタマーマネージドキーを作成できます。 AWS Key Management Service (AWS KMS) コンソールまたは CreateKeyオペレーション。必ず対称暗号化キーを作成してください。キーを作成したら、次のアクセス許可を設定します。

  1. 「キーポリシーの作成」の手順に従って、KMSキーのリソースベースのポリシーを作成します。次のポリシーステートメントを追加して、ガードレールユーザーとガードレール作成者にアクセス許可を付与します。各 を置き換える role 指定されたアクションを実行することを許可するロールを持つ 。

    { "Version": "2012-10-17", "Id": "KMS Key Policy", "Statement": [ { "Sid": "PermissionsForGuardrailsCreators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "PermissionsForGuardrailsUusers", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": "kms:Decrypt", "Resource": "*" } }
  2. 次のアイデンティティベースのポリシーをロールにアタッチして、ガードレールの作成と管理を許可します。を置き換える key-id を、作成したKMSキーの ID に置き換えます。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to create and manage guardrails", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" "kms:CreateGrant" ], "Resource": "arn:aws:kms:region:account-id:key/key-id" } ] }
  3. 次のアイデンティティベースのポリシーをロールにアタッチして、モデル推論中またはエージェントの呼び出し中に暗号化したガードレールを使用できるようにします。を置き換える key-id を、作成したKMSキーの ID に置き換えます。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow role to use an encrypted guardrail during model inference", "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": "arn:aws:kms:region:account-id:key/key-id" } ] }