设置权限以便使用防护机制进行内容筛选 - Amazon Bedrock
为策略角色创建和管理防护机制的权限调用防护机制以筛选内容的权限(可选)为防护机制创建客户管理的密钥以提高安全性

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置权限以便使用防护机制进行内容筛选

要设置具有防护机制权限的角色,您需要按照 Creating a role to delegate permissions to an AWS service 中的步骤创建 IAM 角色并附加以下权限。

如果您在代理中使用防护机制,请将权限附加到有权创建和管理代理的服务角色。您可以在控制台中设置该角色,也可以按照为 Amazon Bedrock 代理创建服务角色中的步骤创建自定义角色。

  • 在基础模型中调用防护机制的权限

  • 创建和管理防护机制的权限

  • (可选)解密客户管理的 AWS KMS 密钥以用于防护机制的权限

为策略角色创建和管理防护机制的权限

将以下语句附加到策略中的 Statement 字段,以便您的角色使用防护机制。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateGuardrail",
                "bedrock:CreateGuardrailVersion",
                "bedrock:DeleteGuardrail", 
                "bedrock:GetGuardrail", 
                "bedrock:ListGuardrails", 
                "bedrock:UpdateGuardrail"
            ],
            "Resource": "*"
        }
    ]   
}

调用防护机制以筛选内容的权限

将以下语句附加到角色的策略中的 Statement 字段,以便允许进行模型推理并调用防护机制。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InvokeFoundationModel",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:InvokeModel", 
                 "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*"
            ]
        },
        {
            "Sid": "ApplyGuardrail",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:guardrail/guardrail-id"
            ]
        }
    ]   
}

(可选)为防护机制创建客户管理的密钥以提高安全性

任何拥有 CreateKey 权限的用户都可以使用 AWS Key Management Service(AWS KMS)控制台或 CreateKey 操作创建客户管理的密钥。确保创建对称加密密钥。创建密钥后,设置以下权限。

  1. 按照 Creating a key policy 中的步骤为您的 KMS 密钥创建基于资源的策略。添加以下策略语句,以便向防护机制用户和防护机制创建者授予权限。将每个 role 替换为允许其执行指定操作的角色。

    {
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUusers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }        
}

  2. 将以下基于身份的策略附加到角色,以便该角色能够创建和管理防护机制。将 key-id 替换为您创建的 KMS 密钥的 ID。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "Allow role to create and manage guardrails",
         "Effect": "Allow",
         "Action": [
            "kms:Decrypt", 
            "kms:DescribeKey", 
            "kms:GenerateDataKey" 
            "kms:CreateGrant"  
         ],
         "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

  3. 将以下基于身份的策略附加到角色,以便该角色能够在模型推理过程中或调用代理时使用您加密的防护机制。将 key-id 替换为您创建的 KMS 密钥的 ID。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow role to use an encrypted guardrail during model inference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}