콘텐츠 필터링에 가드레일을 사용할 수 있는 권한 설정 - Amazon Bedrock
정책 역할을 위한 가드레일을 만들고 관리할 수 있는 권한콘텐츠를 필터링하기 위해 가드레일을 호출하는 데 필요한 권한(선택 사항) 추가 보안을 위해 가드레일의 고객 관리 키를 생성하세요.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

콘텐츠 필터링에 가드레일을 사용할 수 있는 권한 설정

가드레일에 대한 권한이 있는 역할을 설정하려면 서비스에 권한을 위임하기 위한 IAM 역할 생성의 단계에 따라 역할을 생성하고 다음 권한을 첨부하십시오. AWS

상담원과 함께 가드레일을 사용하는 경우 에이전트를 만들고 관리할 수 있는 권한이 있는 서비스 역할에 권한을 부여하세요. 콘솔에서 이 역할을 설정하거나 의 단계에 따라 사용자 지정 역할을 만들 수 있습니다. Amazon Bedrock Agents에 대한 서비스 역할 생성

  • 기반 모델을 사용하여 가드레일을 호출할 수 있는 권한

  • 가드레일을 만들고 관리할 수 있는 권한

  • (선택 사항) 고객 관리형 암호 해독 권한 AWS KMS 가드레일의 키

정책 역할을 위한 가드레일을 만들고 관리할 수 있는 권한

가드레일을 사용하는 역할에 대한 다음 설명을 정책의 Statement 필드에 추가하십시오.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateGuardrail",
                "bedrock:CreateGuardrailVersion",
                "bedrock:DeleteGuardrail", 
                "bedrock:GetGuardrail", 
                "bedrock:ListGuardrails", 
                "bedrock:UpdateGuardrail"
            ],
            "Resource": "*"
        }
    ]   
}

콘텐츠를 필터링하기 위해 가드레일을 호출하는 데 필요한 권한

모델 추론을 허용하고 가드레일을 호출하는 역할에 대한 정책 Statement 필드에 다음 명령문을 추가하십시오.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InvokeFoundationModel",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:InvokeModel", 
                 "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*"
            ]
        },
        {
            "Sid": "ApplyGuardrail",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:guardrail/guardrail-id"
            ]
        }
    ]   
}

(선택 사항) 추가 보안을 위해 가드레일의 고객 관리 키를 생성하세요.

CreateKey권한이 있는 모든 사용자는 다음 중 하나를 사용하여 고객 관리 키를 생성할 수 있습니다. AWS Key Management Service (AWS KMS) 콘솔 또는 CreateKey운영. 대칭 암호화 키를 생성해야 합니다. 키를 생성한 후 다음 권한을 설정합니다.

  1. 키 정책 생성의 단계에 따라 키에 대한 리소스 기반 정책을 생성하십시오. KMS 다음 정책 설명을 추가하여 가드레일 사용자와 가드레일 생성자에게 권한을 부여하십시오. 각각 교체하십시오.role 지정된 작업을 수행하도록 허용하려는 역할로 지정합니다.

    {
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUusers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }        
}

  2. 다음 ID 기반 정책을 역할에 연결하여 가드레일을 생성하고 관리할 수 있도록 하십시오. 교체하십시오.key-id 생성한 KMS 키의 ID로 입력합니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "Allow role to create and manage guardrails",
         "Effect": "Allow",
         "Action": [
            "kms:Decrypt", 
            "kms:DescribeKey", 
            "kms:GenerateDataKey" 
            "kms:CreateGrant"  
         ],
         "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

  3. 다음 ID 기반 정책을 역할에 연결하여 모델 추론 중에 또는 에이전트를 호출하는 동안 암호화한 가드레일을 해당 역할에서 사용할 수 있도록 하십시오. 교체하십시오.key-id 생성한 KMS 키의 ID로 입력합니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow role to use an encrypted guardrail during model inference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}