Datenverschlüsselung für Aufträge zur Modellbewertung - Amazon Bedrock
AWS KMS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenverschlüsselung für Aufträge zur Modellbewertung

Während der Modellevaluierung erstellt Amazon Bedrock eine Kopie Ihrer temporär vorhandenen Daten. Amazon Bedrock löscht die Daten, nachdem der Job abgeschlossen ist. Es verwendet einen AWS KMS Schlüssel, um sie zu verschlüsseln. Es verwendet entweder einen von Ihnen angegebenen AWS KMS Schlüssel oder einen Amazon Bedrock-eigenen Schlüssel, um die Daten zu verschlüsseln.

Amazon Bedrock verwendet die folgenden IAM und AWS Key Management Service Berechtigungen, um Ihren AWS KMS Schlüssel zum Entschlüsseln Ihrer Daten und zum Verschlüsseln der temporären Kopie, die es erstellt, zu verwenden.

AWS Key Management Service Unterstützung bei Aufgaben zur Modellevaluierung

Wenn Sie einen Modellevaluierungsjob mit dem, oder einem unterstützten erstellen AWS Management Console AWS CLI, können AWS SDK Sie wählen, ob Sie einen Amazon Bedrock-eigenen KMS Schlüssel oder Ihren eigenen vom Kunden verwalteten Schlüssel verwenden möchten. Wenn kein vom Kunden verwalteter Schlüssel angegeben ist, wird standardmäßig ein Amazon Bedrock-eigener Schlüssel verwendet.

Um einen vom Kunden verwalteten Schlüssel zu verwenden, müssen Sie die erforderlichen IAM Aktionen und Ressourcen zur Richtlinie der IAM Servicerolle hinzufügen. Sie müssen auch die erforderlichen AWS KMS wichtigen Richtlinienelemente hinzufügen.

Sie müssen auch eine Richtlinie erstellen, die mit Ihrem vom Kunden verwalteten Schlüssel interagieren kann. Dies ist in einer separaten AWS KMS Schlüsselrichtlinie festgelegt.

Amazon Bedrock verwendet die folgenden IAM und AWS KMS Berechtigungen, um Ihren AWS KMS Schlüssel zu verwenden, um Ihre Dateien zu entschlüsseln und darauf zuzugreifen. Es speichert diese Dateien an einem internen Amazon S3 S3-Speicherort, der von Amazon Bedrock verwaltet wird, und verwendet die folgenden Berechtigungen, um sie zu verschlüsseln.

IAMpolitische Anforderungen

Die IAM Richtlinie, die mit der IAM Rolle verknüpft ist, die Sie verwenden, um Anfragen an Amazon Bedrock zu stellen, muss die folgenden Elemente enthalten. Weitere Informationen zur Verwaltung Ihrer AWS KMS Schlüssel finden Sie unter IAMRichtlinien verwenden mit AWS Key Management Service.

Modellevaluierungsjobs in Amazon Bedrock verwenden AWS eigene Schlüssel. Diese KMS Schlüssel gehören Amazon Bedrock. Weitere Informationen zu AWS eigenen Schlüsseln finden Sie unter AWS Eigene Schlüssel im AWS Key Management Service Entwicklerhandbuch.

Erforderliche IAM Richtlinienelemente

  • kms:Decrypt— Für Dateien, die Sie mit Ihrem AWS Key Management Service Schlüssel verschlüsselt haben, gewährt Amazon Bedrock die Erlaubnis, auf diese Dateien zuzugreifen und sie zu entschlüsseln.

  • kms:GenerateDataKey— Steuert die Erlaubnis, den AWS Key Management Service Schlüssel zur Generierung von Datenschlüsseln zu verwenden. Amazon Bedrock verschlüsselt GenerateDataKey die temporären Daten, die es für den Bewertungsauftrag speichert.

  • kms:DescribeKey— Stellt detaillierte Informationen zu einem KMS Schlüssel bereit.

  • kms:ViaService— Der Bedingungsschlüssel beschränkt die Verwendung eines KMS Schlüssels auf Anfragen von bestimmten AWS Diensten. Sie müssen Amazon S3 als Service angeben, da Amazon Bedrock eine temporäre Kopie Ihrer Daten an einem Amazon S3 S3-Standort speichert, dessen Eigentümer es ist.

Im Folgenden finden Sie eine IAM Beispielrichtlinie, die nur die erforderlichen AWS KMS IAM Aktionen und Ressourcen enthält. 


{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "CustomKMSKeyProvidedToBedrock",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDataKey"
        ],
        "Resource": [
          "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": "s3.{{region}}.amazonaws.com"
            }
        }
    },
    {
        "Sid": "CustomKMSDescribeKeyProvidedToBedrock",
        "Effect": "Allow",
        "Action": [
            "kms:DescribeKey"
        ],
        "Resource": [
          "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]"
        ]
    }
]
}

AWS KMS wichtige politische Anforderungen

Jeder AWS KMS Schlüssel muss genau eine wichtige Richtlinie haben. Die Aussagen in der Schlüsselrichtlinie legen fest, wer berechtigt ist, den AWS KMS Schlüssel zu verwenden, und wie er verwendet werden kann. Sie können auch IAM Richtlinien und Genehmigungen verwenden, um den Zugriff auf den AWS KMS Schlüssel zu kontrollieren, aber für jeden AWS KMS Schlüssel muss eine Schlüsselrichtlinie gelten.

Erforderliche AWS KMS wichtige politische Elemente in Amazon Bedrock

  • kms:Decrypt— Für Dateien, die Sie mit Ihrem AWS Key Management Service Schlüssel verschlüsselt haben, gewährt Amazon Bedrock die Erlaubnis, auf diese Dateien zuzugreifen und sie zu entschlüsseln.

  • kms:GenerateDataKey— Steuert die Erlaubnis, den AWS Key Management Service Schlüssel zur Generierung von Datenschlüsseln zu verwenden. Amazon Bedrock verschlüsselt GenerateDataKey die temporären Daten, die es für den Bewertungsauftrag speichert.

  • kms:DescribeKey— Stellt detaillierte Informationen zu einem KMS Schlüssel bereit.

Sie müssen die folgende Aussage zu Ihrer bestehenden AWS KMS Schlüsselrichtlinie hinzufügen. Es gibt Amazon Bedrock die Erlaubnis, Ihre Daten mithilfe der von Ihnen angegebenen Daten vorübergehend in einem Amazon Bedrock-Service-Bucket AWS KMS zu speichern.

{
	"Effect": "Allow",
	"Principal": {
	    "Service": "bedrock.amazonaws.com"
	},
	"Action": [
	    "kms:GenerateDataKey",
	    "kms:Decrypt",
	    "kms:DescribeKey"
	],
	"Resource": "*",
	"Condition": {
	    "StringLike": {
	        "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*",
	        "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*"
	    }
	}
}

Das Folgende ist ein Beispiel für eine vollständige AWS KMS Richtlinie.

{
"Version": "2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
    {
        "Sid": "EnableIAMUserPermissions",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::{{CustomerAccountId}}:root"
        },
        "Action": "kms:*",
        "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Principal": {
            "Service": "bedrock.amazonaws.com"
        },
        "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt",
            "kms:DescribeKey"
        ],
        "Resource": "*",
        "Condition": {
            "StringLike": {
                "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*",
                "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*"
            }
        }
    }
]
}