Verwenden des vom Kunden verwalteten Schlüssels (CMK) - Amazon Bedrock

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden des vom Kunden verwalteten Schlüssels (CMK)

Wenn Sie planen, Ihr benutzerdefiniertes importiertes Modell mit einem vom Kunden verwalteten Schlüssel zu verschlüsseln, gehen Sie wie folgt vor:

  1. Erstellen Sie einen vom Kunden verwalteten Schlüssel mit dem AWS Key Management Service.

  2. Fügen Sie eine ressourcenbasierte Richtlinie mit Berechtigungen für die angegebenen Rollen an, um benutzerdefinierte importierte Modelle zu erstellen und zu verwenden.

Erstellen Sie einen vom Kunden verwalteten Schlüssel

Stellen Sie zunächst sicher, dass Sie über die CreateKey erforderlichen Berechtigungen verfügen. Folgen Sie dann den Schritten unter Schlüssel erstellen, um vom Kunden verwaltete Schlüssel entweder in der AWS KMS Konsole oder im CreateKeyAPI-Vorgang zu erstellen. Stellen Sie sicher, dass Sie einen symmetrischen Verschlüsselungsschlüssel erstellen.

Bei der Erstellung des Schlüssels wird ein Wert Arn für den Schlüssel zurückgegeben, den Sie importedModelKmsKeyId beim Import eines benutzerdefinierten Modells mit Import eines benutzerdefinierten Modells verwenden können.

Erstellen Sie eine Schlüsselrichtlinie und fügen Sie sie dem vom Kunden verwalteten Schlüssel hinzu

Bei den wichtigsten Richtlinien handelt es sich um ressourcenbasierte Richtlinien, die Sie Ihrem vom Kunden verwalteten Schlüssel beifügen, um den Zugriff darauf zu kontrollieren. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Sie können eine wichtige Richtlinie angeben, wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen. Sie können die Schlüsselrichtlinie jederzeit ändern, es kann jedoch zu einer kurzen Verzögerung kommen, bis die Änderung vollständig verfügbar ist AWS KMS. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf kundenverwaltete Schlüssel im Entwicklerhandbuch zum AWS Key Management Service.

Verschlüsseln Sie ein resultierendes importiertes benutzerdefiniertes Modell

Um mit Ihrem vom Kunden verwalteten Schlüssel ein importiertes benutzerdefiniertes Modell zu verschlüsseln, müssen Sie die folgenden AWS KMS Vorgänge in die Schlüsselrichtlinie aufnehmen:

  • kms: CreateGrant — erstellt einen Zuschuss für einen vom Kunden verwalteten Schlüssel, indem dem Amazon Bedrock-Serviceprinzipal über Grant-Operationen Zugriff auf den angegebenen KMS-Schlüssel gewährt wird. Weitere Informationen zu Zuschüssen finden Sie unter Grants AWS KMS im AWS Key Management Service Developer Guide.

    Anmerkung

    Amazon Bedrock richtet außerdem einen Schulleiter ein, der in den Ruhestand geht und den Zuschuss automatisch zurückzieht, wenn er nicht mehr benötigt wird.

  • kms: DescribeKey — stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit Amazon Bedrock den Schlüssel validieren kann.

  • kms: GenerateDataKey — Stellt dem Kunden verwaltete Schlüsselinformationen zur Verfügung, damit Amazon Bedrock den Benutzerzugriff validieren kann. Amazon Bedrock speichert den generierten Chiffretext zusammen mit dem importierten benutzerdefinierten Modell, um ihn als zusätzliche Validierungsprüfung für importierte Benutzer des benutzerdefinierten Modells zu verwenden

  • kms:Decrypt — Entschlüsselt den gespeicherten Chiffretext, um zu überprüfen, ob die Rolle ordnungsgemäßen Zugriff auf den KMS-Schlüssel hat, der das importierte benutzerdefinierte Modell verschlüsselt.

Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die Sie an einen Schlüssel für eine Rolle anhängen können, mit der Sie ein importiertes benutzerdefiniertes Modell verschlüsseln werden:

{
"Version": "2012-10-17",
    "Id": "KMS key policy for a key to encrypt an imported custom model",
    "Statement": [
        {
"Sid": "Permissions for model import API invocation role",
            "Effect": "Allow",
            "Principal": {
"AWS": "arn:aws:iam::${account-id}:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        }
    ]
}

Entschlüsseln Sie ein verschlüsseltes importiertes benutzerdefiniertes Modell

Wenn Sie ein benutzerdefiniertes Modell importieren, das bereits mit einem anderen vom Kunden verwalteten Schlüssel verschlüsselt wurde, müssen Sie gemäß der folgenden Richtlinie kms:Decrypt Berechtigungen für dieselbe Rolle hinzufügen:

{
"Version": "2012-10-17",
    "Id": "KMS key policy for a key that encrypted a custom imported model",
    "Statement": [
        {
"Sid": "Permissions for model import API invocation role",
            "Effect": "Allow",
            "Principal": {
"AWS": "arn:aws:iam::${account-id}:user/role"
            },
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}