Cifrado de datos para trabajos de evaluación de modelos - Amazon Bedrock

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos para trabajos de evaluación de modelos

Durante el trabajo de evaluación del modelo, Amazon Bedrock hace una copia de los datos que existen temporalmente. Amazon Bedrock elimina los datos una vez finalizado el trabajo. Utiliza una AWS KMS clave para cifrarlos. Utiliza una AWS KMS clave que usted especifique o una clave propiedad de Amazon Bedrock para cifrar los datos.

Amazon Bedrock usa lo siguiente IAM y AWS Key Management Service los permisos para usar su AWS KMS clave para descifrar sus datos y cifrar la copia temporal que realiza.

AWS Key Management Service apoyo en trabajos de evaluación de modelos

Cuando crea un trabajo de evaluación de modelos utilizando la AWS Management Console, o una compatible AWS CLI, AWS SDK puede optar por utilizar una KMS clave propiedad de Amazon Bedrock o su propia clave administrada por el cliente. Si no se especifica ninguna clave gestionada por el cliente, se utiliza una clave propiedad de Amazon Bedrock de forma predeterminada.

Para utilizar una clave gestionada por el cliente, debe añadir las IAM acciones y los recursos necesarios a la política del rol de IAM servicio. También debe añadir los elementos AWS KMS clave de la política necesarios.

También debe crear una política que pueda interactuar con la clave gestionada por el cliente. Esto se especifica en una política AWS KMS clave independiente.

Amazon Bedrock usa lo siguiente IAM y AWS KMS permisos para usar su AWS KMS clave para descifrar sus archivos y acceder a ellos. Guarda esos archivos en una ubicación interna de Amazon S3 gestionada por Amazon Bedrock y utiliza los siguientes permisos para cifrarlos.

IAMrequisitos de política

La IAM política asociada al IAM rol que utilizas para realizar solicitudes a Amazon Bedrock debe tener los siguientes elementos. Para obtener más información sobre la administración de sus AWS KMS claves, consulte Uso de IAM políticas con AWS Key Management Service.

Los trabajos de evaluación de modelos en Amazon Bedrock utilizan claves AWS propias. Estas KMS claves son propiedad de Amazon Bedrock. Para obtener más información sobre las claves AWS propias, consulte las claves AWS propias en la Guía para AWS Key Management Service desarrolladores.

Elementos IAM de política necesarios
  • kms:Decrypt— En el caso de los archivos que haya cifrado con su AWS Key Management Service clave, proporciona a Amazon Bedrock permisos para acceder a esos archivos y descifrarlos.

  • kms:GenerateDataKey— Controla el permiso para usar la AWS Key Management Service clave para generar claves de datos. Amazon Bedrock utiliza GenerateDataKey para cifrar los datos temporales que almacena para el trabajo de evaluación.

  • kms:DescribeKey— Proporciona información detallada sobre una KMS clave.

  • kms:ViaService— La clave condicionada limita el uso de una KMS clave a las solicitudes de AWS servicios específicos. Debe especificar Amazon S3 como servicio porque Amazon Bedrock almacena una copia temporal de sus datos en una ubicación de Amazon S3 de la que es propietario.

El siguiente es un ejemplo IAM de política que contiene solo las AWS KMS IAM acciones y los recursos necesarios.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CustomKMSKeyProvidedToBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]" ], "Condition": { "StringEquals": { "kms:ViaService": "s3.{{region}}.amazonaws.com" } } }, { "Sid": "CustomKMSDescribeKeyProvidedToBedrock", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]" ] } ] }

AWS KMS requisitos clave de la política

Cada AWS KMS clave debe tener exactamente una política clave. Las declaraciones de la política de claves determinan quién tiene permiso para usar la AWS KMS clave y cómo puede usarla. También puedes usar IAM políticas y concesiones para controlar el acceso a la AWS KMS clave, pero cada AWS KMS clave debe tener una política clave.

Elementos de política AWS KMS clave necesarios en Amazon Bedrock
  • kms:Decrypt— En el caso de los archivos que haya cifrado con su AWS Key Management Service clave, proporciona a Amazon Bedrock permisos para acceder a esos archivos y descifrarlos.

  • kms:GenerateDataKey— Controla el permiso para usar la AWS Key Management Service clave para generar claves de datos. Amazon Bedrock utiliza GenerateDataKey para cifrar los datos temporales que almacena para el trabajo de evaluación.

  • kms:DescribeKey— Proporciona información detallada sobre una KMS clave.

Debe añadir la siguiente declaración a su política AWS KMS clave actual. Proporciona a Amazon Bedrock permisos para almacenar temporalmente sus datos en un depósito de servicios de Amazon Bedrock utilizando el AWS KMS que haya especificado.

{ "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*", "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*" } } }

El siguiente es un ejemplo de una política completa AWS KMS .

{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "EnableIAMUserPermissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{CustomerAccountId}}:root" }, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*", "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*" } } } ] }