Cifrado de la importación de modelos personalizados - Amazon Bedrock
Cómo utiliza Amazon Bedrock las subvenciones en AWS KMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de la importación de modelos personalizados

La importación de modelos personalizados se encuentra en versión preliminar para Amazon Bedrock y está sujeta a cambios.

Amazon Bedrock permite crear un modelo personalizado mediante la función de importación de modelos personalizados para importar modelos que haya creado en otros entornos, como Amazon SageMaker. Sus modelos importados personalizados son gestionados y almacenados por AWS. Para obtener más información, consulte Importación de un modelo.

Para el cifrado de su modelo importado personalizado, Amazon Bedrock ofrece las siguientes opciones:

  • AWS claves propias: de forma predeterminada, Amazon Bedrock cifra los modelos importados personalizados con claves AWS propias. No puede ver, administrar ni usar las claves AWS propias, ni auditar su uso. Sin embargo, no tiene que realizar ninguna acción ni cambiar ningún programa para proteger las claves que cifran sus datos. Para obtener más información, consulte Claves propiedad de AWS en la Guía para desarrolladores de AWS Key Management Service.

  • Claves administradas por el cliente (CMK): puede optar por añadir una segunda capa de cifrado sobre las claves de cifrado que ya AWS posee si elige una clave administrada por el cliente (CMK). Usted crea, posee y administra sus claves administradas por el cliente.

    Como tiene el control total de esta capa de cifrado, en ella puede realizar las siguientes tareas:

    • Establezca y mantenga políticas clave

    • Establecer y mantener IAM políticas y subvenciones

    • Habilite y deshabilite las políticas clave

    • Rote el material criptográfico clave

    • Agregue etiquetas

    • Cree alias clave

    • Programa la eliminación de claves

    Para obtener más información, consulte las claves administradas por el cliente en la Guía AWS para desarrolladores del Servicio de administración de claves.

nota

Para todos los modelos personalizados que importe, Amazon Bedrock habilita automáticamente el cifrado en reposo mediante claves AWS propias para proteger los datos de los clientes sin coste alguno. Si utiliza una clave gestionada por el cliente, se aplicarán AWS KMS cargos. Para obtener más información sobre los precios, consulta AWS Key Management Service Precios. .

Cómo utiliza Amazon Bedrock las subvenciones en AWS KMS

Si especifica una clave gestionada por el cliente para cifrar el modelo importado. Amazon Bedrock crea una AWS KMS subvención principal asociada al modelo importado en su nombre enviando una CreateGrantsolicitud a AWS KMS. Esta concesión permite a Amazon Bedrock acceder a su clave gestionada por el cliente y utilizarla. Las concesiones en se AWS KMS utilizan para dar a Amazon Bedrock acceso a una KMS clave de la cuenta de un cliente.

Amazon Bedrock requiere la concesión principal para utilizar la clave gestionada por el cliente en las siguientes operaciones internas:

  • Envíe DescribeKeysolicitudes AWS KMS para comprobar que el identificador de KMS clave simétrico gestionado por el cliente que ingresó al crear el trabajo es válido.

  • Envíe GenerateDataKeyy descifre las solicitudes AWS KMS para generar claves de datos cifradas con la clave gestionada por el cliente y descifre las claves de datos cifradas para poder utilizarlas para cifrar los artefactos del modelo.

  • Envíe CreateGrantsolicitudes AWS KMS para crear concesiones secundarias con un alcance reducido con un subconjunto de las operaciones anteriores (DescribeKey,,Decrypt)GenerateDataKey, para la ejecución asíncrona de la importación de modelos y para la inferencia bajo demanda.

  • Amazon Bedrock especifica un director que se jubila durante la creación de las subvenciones, para que el servicio pueda enviar una RetireGrantsolicitud.

Tiene acceso total a su clave gestionada AWS KMS por el cliente. Puede revocar el acceso a la subvención siguiendo los pasos que se indican en la Guía para desarrolladores de servicios de administración de AWS claves para desarrolladores o eliminar el acceso del servicio a su clave gestionada por el cliente en cualquier momento modificando la política de claves. Si lo hace, Amazon Bedrock no podrá acceder al modelo importado cifrado por su clave.

Ciclo de vida de las subvenciones primarias y secundarias para los modelos importados personalizados

  • Las subvenciones principales tienen una vida útil prolongada y permanecen activas mientras se sigan utilizando los modelos personalizados asociados. Cuando se elimina un modelo importado personalizado, la concesión principal correspondiente se retira automáticamente.

  • Las subvenciones secundarias son de corta duración. Se retiran automáticamente en cuanto se completa la operación que Amazon Bedrock realiza en nombre de los clientes. Por ejemplo, una vez finalizado un trabajo de importación de un modelo personalizado, la concesión secundaria que permitió a Amazon Bedrock cifrar el modelo importado personalizado se retirará inmediatamente.