Crear una clave administrada por el cliente Cree una política clave y adjúntela a la clave gestionada por el cliente Cifrado de los datos de entrenamiento, validación y salida

Cifrado de trabajos y artefactos de personalización de modelos

Amazon Bedrock utiliza los datos de entrenamiento con la CreateModelCustomizationJobacción o con la consola para crear un modelo personalizado que es una versión mejorada de un modelo básico de Amazon Bedrock. Sus modelos personalizados son gestionados y almacenados por. AWS

Amazon Bedrock utiliza los datos de ajuste preciso que usted proporciona únicamente para ajustar con precisión un modelo de base de Amazon Bedrock. Amazon Bedrock no utiliza los datos de ajuste preciso para ningún otro propósito. Sus datos de entrenamiento no se utilizan para entrenar los Titan modelos base ni se distribuyen a terceros. Otros datos de uso, como las marcas de tiempo de uso, los ID de cuenta registrados y otra información registrada por el servicio, tampoco se utilizan para entrenar los modelos.

Amazon Bedrock no almacena ninguno de los datos de entrenamiento o validación que proporcione para el ajuste fino, una vez finalizado el trabajo de ajuste fino.

Tenga en cuenta que los modelos ajustados con precisión pueden reproducir algunos de los datos de ajuste preciso y, al mismo tiempo, generar finalizaciones. Si tu aplicación no debe exponer datos de ajuste de ningún tipo, primero debes filtrar los datos confidenciales de tus datos de entrenamiento. Si ya has creado un modelo personalizado con datos confidenciales por error, puedes eliminar ese modelo personalizado, filtrar la información confidencial de los datos de entrenamiento y, a continuación, crear un modelo nuevo.

De forma predeterminada, Amazon Bedrock cifra el modelo personalizado resultante del trabajo de personalización con una AWS Key Management Service clave AWS administrada que posee. AWS Si lo desea, puede cifrar el modelo mediante la creación de una clave gestionada por el cliente. Para obtener más información AWS KMS keys, consulte las claves administradas por el cliente en la Guía para AWS Key Management Service desarrolladores. Para utilizar una clave gestionada por el cliente, lleve a cabo los siguientes pasos.

Cree una clave gestionada por el cliente con AWS Key Management Service.
Adjunte una política basada en recursos con permisos para las funciones especificadas para crear o usar modelos personalizados.

Temas

Crear una clave administrada por el cliente
Cree una política clave y adjúntela a la clave gestionada por el cliente
Cifrado de los datos de entrenamiento, validación y salida

Crear una clave administrada por el cliente

En primer lugar, asegúrese de tener permisos. CreateKey A continuación, siga los pasos que se indican en Crear claves para crear una clave gestionada por el cliente en la AWS KMS consola o en la operación de la CreateKeyAPI. Asegúrese de crear una clave de cifrado simétrica.

Al crear la clave, se obtiene un formulario Arn para la clave que puede utilizar customModelKmsKeyId al enviar un trabajo de personalización de modelos.

Cree una política clave y adjúntela a la clave gestionada por el cliente

Adjunte la siguiente política basada en recursos a la clave de KMS siguiendo los pasos que se indican en Crear una política clave. La política contiene dos declaraciones.

Permisos para que un rol cifre los artefactos de personalización del modelo. Agregue al campo los ARN de las funciones de creación de modelos personalizadas. Principal
Permisos para que un rol utilice un modelo personalizado en la inferencia. Agregue al campo los ARN de los roles de usuario del modelo personalizado. Principal


{
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "Permissions for custom model builders",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Permissions for custom model users",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }      
}

Cifrado de los datos de entrenamiento, validación y salida

Cuando utiliza Amazon Bedrock para ejecutar un trabajo de personalización de modelos, almacena los archivos de entrada en su bucket de Amazon S3. Cuando se completa el trabajo, Amazon Bedrock almacena los archivos de métricas de salida en el depósito de S3 que especificó al crear el trabajo y los artefactos del modelo personalizado resultantes en un depósito de S3 controlado por. AWS

Los archivos de salida se cifran con las configuraciones de cifrado del bucket de S3. Se cifran con el cifrado SSE-S3 del lado del servidor o con el cifrado AWS KMS SSE-KMS, según cómo se configure el depósito de S3.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cifrado de datos

Cifrado de los recursos de los agentes