Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verschlüsselung importierter benutzerdefinierter Modelle
<a name="encryption-import-model"></a>

Amazon Bedrock unterstützt die Erstellung benutzerdefinierter Modelle mit zwei Methoden, die denselben Verschlüsselungsansatz verwenden. Ihre benutzerdefinierten Modelle werden verwaltet und gespeichert vonAWS:
+ **Importaufträge für benutzerdefinierte Modelle**: Für den Import von benutzerdefinierten Open-Source-Basismodellen (wie Mistral AI- oder Llama-Modellen).
+ **Benutzerdefiniertes Modell erstellen** — Für den Import von Amazon Nova-Modellen, die Sie in SageMaker AI angepasst haben.

Für die Verschlüsselung Ihrer benutzerdefinierten Modelle bietet Amazon Bedrock die folgenden Optionen: 
+ **AWSeigene Schlüssel** — Standardmäßig verschlüsselt Amazon Bedrock importierte benutzerdefinierte Modelle mit AWS eigenen Schlüsseln. Sie können AWS eigene Schlüssel nicht anzeigen, verwalten oder verwenden oder deren Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter [AWS-eigene Schlüssel](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#aws-owned-cmk) im *Entwicklerhandbuch zum AWS-Schlüsselverwaltungsdienst*.
+ **Vom Kunden verwaltete Schlüssel (CMK)** — Sie können wählen, ob Sie eine zweite Verschlüsselungsebene über den vorhandenen AWS eigenen Verschlüsselungsschlüsseln hinzufügen möchten, indem Sie einen vom Kunden verwalteten Schlüssel (CMK) wählen. Sie erstellen, besitzen und verwalten kundenseitig verwaltete Schlüssel selbst.

   Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie darin die folgenden Aufgaben ausführen: 
  + Schlüsselrichtlinien festlegen und erhalten
  + IAM-Richtlinien und Erteilungen festlegen und erhalten
  + Schlüsselrichtlinien aktivieren und deaktivieren
  + Kryptographisches Schlüsselmaterial rotieren
  + Hinzufügen von Tags
  + Schlüsselaliase erstellen
  + Die Löschung von Schlüsseln planen

  Weitere Informationen finden Sie unter [Kundenseitig verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) im *Entwicklerhandbuch zu AWS Key Management Service*.

**Anmerkung**  
Für alle benutzerdefinierten Modelle, die Sie importieren, aktiviert Amazon Bedrock automatisch die Verschlüsselung im Ruhezustand mithilfe AWS eigener Schlüssel, um Kundendaten kostenlos zu schützen. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, AWS KMS fallen Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter [AWS Key Management Service – Preise](https://docs.aws.amazon.com/).

## So verwendet Amazon Bedrock Zuschüsse in AWS KMS
<a name="import-model-kms-grants"></a>

Wenn Sie einen kundenseitig verwalteten Schlüssel angeben, um das importierte Modell zu verschlüsseln, Amazon Bedrock erstellt in Ihrem Namen einen **primären AWS KMS** [Zuschuss](https://docs.aws.amazon.com/) für das importierte Modell, indem es eine [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)Anfrage an AWS KMS sendet. Diese Erteilung ermöglicht Amazon Bedrock den Zugriff auf Ihren kundenseitig verwalteten Schlüssel und dessen Verwendung. Grants in AWS KMS werden verwendet, um Amazon Bedrock Zugriff auf einen KMS-Schlüssel im Konto eines Kunden zu gewähren.

Amazon Bedrock benötigt die primäre Erteilung, um Ihren kundenseitig verwalteten Schlüssel für die folgenden internen Vorgänge zu verwenden:
+ Senden Sie [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Anfragen, um AWS KMS zu überprüfen, ob die symmetrische, kundenverwaltete KMS-Schlüssel-ID, die Sie bei der Erstellung des Auftrags eingegeben haben, gültig ist.
+ Senden [GenerateDataKey](https://docs.aws.amazon.com//kms/latest/APIReference/API_GenerateDataKey.html)und [Entschlüsseln](https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html) von Anfragen AWS KMS zur Generierung von Datenschlüsseln, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden, und zur Entschlüsselung der verschlüsselten Datenschlüssel, sodass sie zur Verschlüsselung der Modellartefakte verwendet werden können.
+ Senden Sie [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)Anfragen an, AWS KMS um sekundäre Zuschüsse mit begrenztem Geltungsbereich mit einer Teilmenge der oben genannten Operationen (`DescribeKey`,`GenerateDataKey`,`Decrypt`) für die asynchrone Ausführung von Modellimporten und für On-Demand-Inferenzen zu erstellen. 
+ Amazon Bedrock legt bei der Erstellung von Zuschüssen einen Schulleiter fest, der in den Ruhestand geht, sodass der Service eine [RetireGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_RetireGrant.html)Anfrage senden kann.

Sie haben vollen Zugriff auf Ihren vom Kunden verwalteten AWS KMS Schlüssel. Sie können den Zugriff auf die Erteilung jederzeit widerrufen, indem Sie die Schritte unter [Zurückziehen und Widerrufen von Erteilungen](https://docs.aws.amazon.com//kms/latest/developerguide/grant-manage.html#grant-delete) im *Entwicklerhandbuch zu AWS Key Management Service* befolgen, oder den Zugriff des Dienstes auf Ihren kundenseitig verwalteten Schlüssel entfernen, indem Sie die Schlüsselrichtlinie ändern. Dadurch kann Amazon Bedrock nicht mehr auf das mit Ihrem Schlüssel verschlüsselte importierte Modell zugreifen.

### Lebenszyklus von primären und sekundären Erteilungen für benutzerdefinierte importierte Modelle
<a name="import-model-kms-grants-lifecycle"></a>
+ **Primäre Erteilungen** haben eine lange Laufzeit und bleiben aktiv, solange die zugehörigen benutzerdefinierten Modelle noch verwendet werden. Wenn ein benutzerdefiniertes importiertes Modell gelöscht wird, wird die entsprechende primäre Erteilung automatisch zurückgezogen.
+ **Sekundäre Erteilungen** sind kurzlebig. Sie werden automatisch zurückgezogen, sobald der Vorgang, den Amazon Bedrock im Namen der Kunden durchführt, abgeschlossen ist. Sobald beispielsweise ein Auftrag zum Importieren eines benutzerdefinierten Modells abgeschlossen ist, wird die sekundäre Erteilung, die es Amazon Bedrock ermöglichte, das benutzerdefinierte importierte Modell zu verschlüsseln, zurückgezogen.

# So verwenden Sie den kundenseitig verwalteten Schlüssel (CMK)
<a name="import-model-using-cmk"></a>

Wenn Sie planen, Ihr benutzerdefiniertes importiertes Modell mit einem kundenseitig verwalteten Schlüssel zu verschlüsseln, gehen Sie wie folgt vor:

1. Erstellen Sie einen kundenseitig verwalteten Schlüssel mit AWS Key Management Service.

1. Fügen Sie eine [ressourcenbasierte Richtlinie](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html) mit Berechtigungen für die angegebenen Rollen an, um benutzerdefinierte importierte Modelle zu erstellen und zu verwenden.

**Einen kundenseitig verwalteten Schlüssel erstellen**

Stellen Sie sicher, dass Sie `CreateKey`-Berechtigungen haben. Folgen Sie dann den Schritten unter [Schlüssel erstellen](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html), um vom Kunden verwaltete Schlüssel entweder in der AWS KMS Konsole oder im [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API-Vorgang zu erstellen. Stellen Sie sicher, dass Sie einen symmetrischen Verschlüsselungsschlüssel erstellen.

Bei der Erstellung des Schlüssels wird ein `Arn` für den Schlüssel zurückgegeben, den Sie beim Import eines benutzerdefinierten Modells mit benutzerdefiniertem Modellimport als `importedModelKmsKeyId ` verwenden können.

**Erstellen einer Schlüsselrichtlinie und Anfügen an den kundenseitig verwalteten Schlüssel**

Bei Schlüsselrichtlinien handelt es sich um [ressourcenbasierte Richtlinien](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html), die Sie Ihrem kundenseitig verwalteten Schlüssel zuordnen, um den Zugriff darauf zu kontrollieren. Jeder kundenseitig verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren kundenseitig verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Sie können die Schlüsselrichtlinie jederzeit ändern, es kann jedoch eine Weile dauern, bis die Änderung in allen Bereichen von AWS KMS verfügbar wird. Weitere Informationen finden Sie unter [Verwalten des Zugriffs auf kundenseitig verwaltete Schlüssel](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#managing-access) im *Entwicklerhandbuch zum AWS Key Management Service*.

**So verschlüsseln Sie ein importiertes benutzerdefiniertes Modell**

Um Ihren vom Kunden verwalteten Schlüssel zur Verschlüsselung eines importierten benutzerdefinierten Modells zu verwenden, müssen Sie die folgenden AWS KMS Vorgänge in die Schlüsselrichtlinie aufnehmen:
+ [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) — erstellt einen Zuschuss für einen vom Kunden verwalteten Schlüssel, indem dem Amazon Bedrock-Serviceprinzipal über [Grant-Operationen Zugriff auf den angegebenen KMS-Schlüssel gewährt](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) wird. Weitere Informationen zum Einsatz von Erteilungen finden Sie unter [Erteilungen in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) im *Entwicklerhandbuch zum AWS-Key-Management-Service*.
**Anmerkung**  
Amazon Bedrock richtet außerdem einen Prinzipal für Außerbetriebnahmen ein und zieht die Erteilung automatisch zurück, wenn sie nicht mehr benötigt wird.
+ [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit Amazon Bedrock den Schlüssel validieren kann.
+ [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Stellt dem Kunden verwaltete Schlüsselinformationen zur Verfügung, damit Amazon Bedrock den Benutzerzugriff validieren kann. Amazon Bedrock speichert generierten Geheimtext zusammen mit dem benutzerdefinierten Modell, um ihn als zusätzliche Validierungsprüfung für Benutzer des importierten benutzerdefinierten Modells zu verwenden.
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) – Entschlüsselt den gespeicherten Geheimtext, um zu überprüfen, ob die Rolle ordnungsgemäßen Zugriff auf den KMS-Schlüssel hat, der das importierte benutzerdefinierte Modell verschlüsselt.

Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die Sie an einen Schlüssel für eine Rolle anhängen können, mit der Sie importierte Modelle verschlüsseln werden:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "KMS key policy for a key to encrypt an imported custom model",
    "Statement": [
        {
            "Sid": "Permissions for model import API invocation role",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        }
    ]
}
```

------

**So entschlüsseln Sie ein verschlüsseltes importiertes benutzerdefiniertes Modell**

Wenn Sie ein benutzerdefiniertes Modell importieren, das bereits mit einem anderen kundenseitig verwalteten Schlüssel verschlüsselt wurde, müssen Sie gemäß der folgenden Richtlinie `kms:Decrypt`-Berechtigungen für dieselbe Rolle hinzufügen:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "KMS key policy for a key that encrypted a custom imported model",
    "Statement": [
        {
            "Sid": "Permissions for model import API invocation role",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# So überwachen Sie Ihre Verschlüsselungsschlüssel für den Amazon-Bedrock-Service
<a name="import-model-monitor-encryption-keys"></a>

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren Amazon Bedrock-Ressourcen verwenden, können Sie [Amazon CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) verwenden [AWS CloudTrail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-user-guide.html), um Anfragen zu verfolgen, an die Amazon Bedrock sendet. AWS KMS

Im Folgenden finden Sie ein Beispiel für eine AWS CloudTrail Veranstaltung [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)zur Überwachung von AWS KMS Vorgängen, die von Amazon Bedrock aufgerufen wurden, um einen primären Zuschuss zu erhalten:

```
{
"eventVersion": "1.09",
    "userIdentity": {
"type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/RoleForModelImport/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE",
        "sessionContext": {
"sessionIssuer": {
"type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/RoleForModelImport",
                "accountId": "111122223333",
                "userName": "RoleForModelImport"
            },
            "attributes": {
"creationDate": "2024-05-07T21:46:28Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "bedrock.amazonaws.com"
    },
    "eventTime": "2024-05-07T21:49:44Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "bedrock.amazonaws.com",
    "userAgent": "bedrock.amazonaws.com",
    "requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
        "retiringPrincipal": "bedrock.amazonaws.com",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "operations": [
            "Decrypt",
            "CreateGrant",
            "GenerateDataKey",
            "DescribeKey"
        ]
    },
    "responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
"accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
```

Fügen Sie die folgende ressourcenbasierte Richtlinie dem KMS-Schlüssel hinzu, indem Sie den Schritten unter [Erstellen einer Richtlinie](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-overview.html) folgen. Die Richtlinie enthält zwei Anweisungen.

1. Berechtigungen für eine Rolle zur Verschlüsselung von Artefakten zur Modellanpassung. Fügen Sie dem `Principal` Feld ARNs eine der importierten Rollen für den benutzerdefinierten Model Builder hinzu.

1. Berechtigungen für eine Rolle zur Verwendung des importierten benutzerdefinierten Modells in der Inferenz. Hinzufügen ARNs importierter Benutzerrollen für benutzerdefinierte Modelle zum `Principal` Feld.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "Permissions for imported model builders",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Permissions for imported model users",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }
    ]
}
```

------