Verschlüsselung des Imports von benutzerdefinierten Modellen - Amazon Bedrock
So verwendet Amazon Bedrock Zuschüsse in AWS KMS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung des Imports von benutzerdefinierten Modellen

Amazon Bedrock unterstützt die Erstellung eines benutzerdefinierten Modells mithilfe der Importfunktion für benutzerdefinierte Modelle, um Modelle zu importieren, die Sie in anderen Umgebungen wie Amazon SageMaker AI erstellt haben. Ihre benutzerdefinierten importierten Modelle werden von AWS verwaltet und gespeichert. Weitere Informationen finden Sie unter Modell importieren.

Für die Verschlüsselung Ihres benutzerdefinierten importierten Modells bietet Amazon Bedrock die folgenden Optionen:

  • AWS eigene Schlüssel — Standardmäßig verschlüsselt Amazon Bedrock benutzerdefinierte importierte Modelle mit AWS eigenen Schlüsseln. Sie können AWS eigene Schlüssel nicht anzeigen, verwalten oder verwenden oder deren Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter AWS -eigene Schlüssel im Entwicklerhandbuch zum AWS -Schlüsselverwaltungsdienst.

  • Vom Kunden verwaltete Schlüssel (CMK) — Sie können wählen, ob Sie eine zweite Verschlüsselungsebene über den vorhandenen AWS eigenen Verschlüsselungsschlüsseln hinzufügen möchten, indem Sie einen vom Kunden verwalteten Schlüssel (CMK) wählen. Sie erstellen, besitzen und verwalten Ihre vom Kunden verwalteten Schlüssel.

    Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie darin die folgenden Aufgaben ausführen:

    • Legen Sie wichtige Richtlinien fest und pflegen Sie sie

    • Festlegung und Aufrechterhaltung von IAM Richtlinien und Zuschüssen

    • Aktivieren und deaktivieren Sie wichtige Richtlinien

    • Rotieren Sie das kryptografische Schlüsselmaterial

    • Tags hinzufügen

    • Schlüsselaliase erstellen

    • Planen Sie das Löschen von Schlüsseln

    Weitere Informationen finden Sie unter vom Kunden verwaltete Schlüssel im AWS Key Management Service Developer Guide.

Anmerkung

Für alle benutzerdefinierten Modelle, die Sie importieren, aktiviert Amazon Bedrock automatisch die Verschlüsselung im Ruhezustand mithilfe AWS eigener Schlüssel, um Kundendaten kostenlos zu schützen. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, AWS KMS fallen Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter AWS Key Management Service Preisgestaltung. .

So verwendet Amazon Bedrock Zuschüsse in AWS KMS

Wenn Sie einen vom Kunden verwalteten Schlüssel zur Verschlüsselung des importierten Modells angeben. Amazon Bedrock erstellt in Ihrem Namen einen primären AWS KMS Zuschuss für das importierte Modell, indem es eine CreateGrantAnfrage an AWS KMS sendet. Dieser Zuschuss ermöglicht Amazon Bedrock, auf Ihren vom Kunden verwalteten Schlüssel zuzugreifen und ihn zu verwenden. Zuschüsse AWS KMS werden verwendet, um Amazon Bedrock Zugriff auf einen KMS Schlüssel im Konto eines Kunden zu gewähren.

Amazon Bedrock benötigt den primären Zuschuss, um Ihren vom Kunden verwalteten Schlüssel für die folgenden internen Operationen verwenden zu können:

  • Senden Sie DescribeKeyAnfragen an, um AWS KMS zu überprüfen, ob die symmetrische, vom Kunden verwaltete KMS Schlüssel-ID, die Sie bei der Erstellung des Jobs eingegeben haben, gültig ist.

  • Senden GenerateDataKeyund Entschlüsseln von Anfragen AWS KMS zur Generierung von Datenschlüsseln, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden, und zur Entschlüsselung der verschlüsselten Datenschlüssel, sodass sie zur Verschlüsselung der Modellartefakte verwendet werden können.

  • Senden Sie CreateGrantAnfragen an, AWS KMS um sekundäre Zuschüsse mit begrenztem Geltungsbereich mit einer Teilmenge der oben genannten Operationen (DescribeKey,GenerateDataKey,Decrypt) für die asynchrone Ausführung von Modellimporten und für On-Demand-Inferenzen zu erstellen.

  • Amazon Bedrock legt bei der Erstellung von Zuschüssen einen Schulleiter fest, der in den Ruhestand geht, sodass der Service eine RetireGrantAnfrage senden kann.

Sie haben vollen Zugriff auf Ihren vom Kunden verwalteten AWS KMS Schlüssel. Sie können den Zugriff auf den Zuschuss widerrufen, indem Sie die Schritte unter Zurückziehen und Widerrufen von Zuschüssen im AWS Key Management Service Developer Guide befolgen. Oder Sie können den Zugriff des Dienstes auf Ihren vom Kunden verwalteten Schlüssel jederzeit entfernen, indem Sie die Schlüsselrichtlinie ändern. Wenn Sie dies tun, kann Amazon Bedrock nicht auf das importierte Modell zugreifen, das mit Ihrem Schlüssel verschlüsselt wurde.

Lebenszyklus von primären und sekundären Zuschüssen für individuell importierte Modelle

  • Primäre Zuschüsse haben eine lange Laufzeit und bleiben aktiv, solange die zugehörigen benutzerdefinierten Modelle noch verwendet werden. Wenn ein benutzerdefiniertes importiertes Modell gelöscht wird, wird der entsprechende primäre Grant automatisch zurückgezogen.

  • Sekundäre Zuschüsse sind kurzlebig. Sie werden automatisch außer Betrieb genommen, sobald der Vorgang, den Amazon Bedrock im Namen der Kunden durchführt, abgeschlossen ist. Sobald beispielsweise ein Importauftrag für ein benutzerdefiniertes Modell abgeschlossen ist, wird der sekundäre Zuschuss, der es Amazon Bedrock ermöglichte, das benutzerdefinierte importierte Modell zu verschlüsseln, sofort zurückgezogen.