設定使用護欄進行內容篩選的權限 - Amazon Bedrock
建立和管理原則角色護欄的權限呼叫護欄以篩選內容所需的權限(選擇性) 為您的護欄建立客戶管理金鑰,以提高安全性

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定使用護欄進行內容篩選的權限

若要設定具有護欄權限的角色,請依照建立IAM角色以委派權限給服務中的步驟,建立角色並附加下列權限。AWS

如果您要搭配代理程式使用護欄,請將權限附加至具有建立和管理代理程式之權限的服務角色。您可以在主控台中設定此角色,或按照中的步驟建立自訂角色為 Amazon Bedrock 代理程式建立服務角色

  • 使用基礎模型調用護欄的權限

  • 建立和管理護欄的權限

  • (選擇性) 解密客戶管理的權限 AWS KMS 鑰匙, 為, the, 護欄

建立和管理原則角色護欄的權限

將下列陳述式附加至原則中的Statement欄位,讓您的角色使用護欄。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAndManageGuardrails",
            "Effect": "Allow",
            "Action": [  
                "bedrock:CreateGuardrail",
                "bedrock:CreateGuardrailVersion",
                "bedrock:DeleteGuardrail", 
                "bedrock:GetGuardrail", 
                "bedrock:ListGuardrails", 
                "bedrock:UpdateGuardrail"
            ],
            "Resource": "*"
        }
    ]   
}

呼叫護欄以篩選內容所需的權限

將下列陳述式附加至角色原則中的Statement欄位,以允許模型推論和叫用護欄。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InvokeFoundationModel",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:InvokeModel", 
                 "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": [
                "arn:aws:bedrock:region::foundation-model/*"
            ]
        },
        {
            "Sid": "ApplyGuardrail",
            "Effect": "Allow",
            "Action": [  
                 "bedrock:ApplyGuardrail"
            ],
            "Resource": [
                "arn:aws:bedrock:region:account-id:guardrail/guardrail-id"
            ]
        }
    ]   
}

(選擇性) 為您的護欄建立客戶管理金鑰,以提高安全性

任何具有CreateKey權限的使用者都可以使用 AWS Key Management Service (AWS KMS)控制台或CreateKey操作。請確保建立對稱加密金鑰。建立金鑰後,請設定下列權限。

  1. 請遵循建立金鑰原則中的步驟,為您的金KMS鑰建立以資源為基礎的政策。新增下列原則陳述式,以授與護欄使用者和護欄建立者的權限。替換每個 role 具有您想要允許執行指定操作的角色。

    {
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "PermissionsForGuardrailsCreators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsForGuardrailsUusers",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }        
}

  2. 將下列以身分識別為基礎的原則附加至角色,以允許其建立和管理護欄。更換 key-id 使用您創建的KMS密鑰的 ID。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "Allow role to create and manage guardrails",
         "Effect": "Allow",
         "Action": [
            "kms:Decrypt", 
            "kms:DescribeKey", 
            "kms:GenerateDataKey" 
            "kms:CreateGrant"  
         ],
         "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}

  3. 將下列以身分識別為基礎的原則附加至角色,以允許該角色使用您在模型推論期間或呼叫代理程式時加密的防護。更換 key-id 使用您創建的KMS密鑰的 ID。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow role to use an encrypted guardrail during model inference",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id"
        }
    ]
}