콘텐츠 필터링에 가드레일을 사용할 수 있는 권한 설정 - Amazon Bedrock
정책 역할에 대한 가드레일을 만들고 관리할 수 있는 권한콘텐츠 필터링을 위해 가드레일을 간접 호출하는 데 필요한 권한(선택 사항) 추가 보안을 위해 가드레일에 대한 고객 관리형 키 생성

콘텐츠 필터링에 가드레일을 사용할 수 있는 권한 설정

가드레일에 대한 권한이 있는 역할을 설정하려면 AWS 서비스에 대한 권한을 위임할 역할 생성에 나와 있는 단계에 따라 IAM 역할을 만들고 다음 권한을 연결합니다.

가드레일을 에이전트와 함께 사용하는 경우 에이전트를 만들고 관리할 수 있는 권한이 있는 서비스 역할에 권한을 연결합니다. 콘솔에서 이 역할을 설정하거나 Amazon Bedrock 에이전트에 대한 서비스 역할 생성의 단계에 따라 사용자 지정 역할을 만들 수 있습니다.

  • 파운데이션 모델로 가드레일을 간접 호출할 수 있는 권한

  • 가드레일을 생성 및 관리하는 권한

  • (선택 사항) 가드레일의 고객 관리형 AWS KMS 키를 복호화하기 위한 권한

정책 역할에 대한 가드레일을 만들고 관리할 수 있는 권한

가드레일을 사용할 역할의 정책에서 Statement 필드에 다음 문을 추가합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateGuardrail",
                "bedrock:CreateGuardrailVersion",
                "bedrock:DeleteGuardrail", 
                "bedrock:GetGuardrail", 
                "bedrock:ListGuardrails", 
                "bedrock:UpdateGuardrail"
            ],
            "Resource": "*"
        }
    ]   
}

콘텐츠 필터링을 위해 가드레일을 간접 호출하는 데 필요한 권한

모델 추론을 허용하고 가드레일을 간접적으로 호출하려면 역할 정책의 Statement 필드에 다음 문을 추가합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InvokeFoundationModel",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:InvokeModel", 
                 "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*"
            ]
        },
        {
            "Sid": "ApplyGuardrail",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:guardrail/guardrail-id"
            ]
        }
    ]   
}

(선택 사항) 추가 보안을 위해 가드레일에 대한 고객 관리형 키 생성

CreateKey 권한이 있는 모든 사용자는 AWS Key Management Service(AWS KMS) 콘솔 또는 CreateKey 작업을 사용하여 고객 관리형 키를 생성할 수 있습니다. 대칭 암호화 키를 생성해야 합니다. 키를 만든 후 다음 권한을 설정합니다.

  1. Creating a key policy의 단계에 따라 KMS 키에 대한 리소스 기반 정책을 만듭니다. 가드레일 사용자 및 가드레일 생성자에게 권한을 부여하려면 다음 정책 문을 추가합니다. 각 역할을 지정된 작업을 수행할 수 있도록 허용하려는 역할로 바꿉니다.

    {
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUusers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }        
}

  2. 다음 ID 기반 정책을 역할에 연결하여 가드레일을 만들고 관리할 수 있습니다. key-id를 이전에 만든 KMS 키의 ID로 바꿉니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "Allow role to create and manage guardrails",
         "Effect": "Allow",
         "Action": [
            "kms:Decrypt", 
            "kms:DescribeKey", 
            "kms:GenerateDataKey" 
            "kms:CreateGrant"  
         ],
         "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

  3. 다음 ID 기반 정책을 역할에 연결하여 모델 추론 또는 에이전트 간접 호출 중에 암호화된 가드레일을 사용할 수 있도록 합니다. key-id를 이전에 만든 KMS 키의 ID로 바꿉니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow role to use an encrypted guardrail during model inference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}