Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Amazon Bedrock Data Automation (BDA) utilise le chiffrement pour protéger vos données au repos. Cela inclut les plans, les projets et les informations extraites stockés par le service. BDA propose deux options pour chiffrer vos données :
AWS clés détenues : par défaut, BDA chiffre vos données à l'aide de clés AWS détenues. Vous ne pouvez pas consulter, gérer ou utiliser les clés détenues par AWS, ni auditer leur utilisation. Toutefois, vous n'avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d'informations, consultez la section sur les clés AWS détenues dans le Guide du développeur du service de gestion des AWS clés.
Clés gérées par le client — Vous pouvez choisir de chiffrer vos données avec des clés gérées par le client que vous gérez vous-même. Pour plus d'informations sur AWS KMS les clés, consultez la section Clés gérées par le client dans le Guide du développeur du service de gestion des AWS clés. BDA ne prend pas en charge les clés gérées par le client destinées à être utilisées dans la Amazon Bedrock console, uniquement pour les opérations d'API.
Amazon Bedrock L'automatisation des données active automatiquement le chiffrement au repos à l'aide de clés AWS détenues gratuitement. Si vous utilisez une clé gérée par le client, AWS KMS des frais s'appliquent. Pour plus d'informations sur la tarification, consultez la section AWS KMS tarification
Comment Amazon Bedrock utilise les subventions dans AWS KMS
Si vous spécifiez une clé gérée par le client pour le chiffrement de votre BDA lorsque vous appelez invokeDataAutomation Async, le service crée une subvention associée à vos ressources en votre nom en envoyant une CreateGrant demande à. AWS KMS Cette subvention permet à BDA d'accéder à votre clé gérée par le client et de l'utiliser.
BDA utilise la subvention pour votre clé gérée par le client pour les opérations internes suivantes :
DescribeKey — Envoyez des demandes AWS KMS à pour vérifier que l'identifiant de AWS KMS clé symétrique géré par le client que vous avez fourni est valide.
GenerateDataKey et déchiffrer : envoyez des demandes AWS KMS pour générer des clés de données chiffrées par la clé gérée par votre client et déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos ressources.
CreateGrant — Envoyez des demandes AWS KMS à pour créer des autorisations délimitées avec un sous-ensemble des opérations ci-dessus (DescribeKey,, Decrypt) GenerateDataKey, pour l'exécution asynchrone des opérations.
Vous avez un accès complet à votre AWS KMS clé gérée par le client. Vous pouvez révoquer l'accès à la subvention en suivant les étapes décrites dans les sections Retrait et révocation des subventions du guide du AWS KMS développeur ou supprimer l'accès du service à votre clé gérée par le client à tout moment en modifiant la politique relative aux clés. Dans ce cas, BDA ne pourra pas accéder aux ressources chiffrées par votre clé.
Si vous lancez un nouvel appel invokeDataAutomation asynchrone après avoir révoqué une autorisation, BDA la recréera. Les subventions sont annulées par la BDA au bout de 30 heures.
Création d'une clé gérée par le client et ajout d'une politique clé
Pour chiffrer les ressources BDA avec une clé que vous créez et gérez, suivez les étapes générales suivantes :
-
(Prérequis) Assurez-vous que votre rôle IAM dispose des autorisations nécessaires pour effectuer l' CreateKey action.
-
Suivez les étapes de la section Création de clés pour créer une clé gérée par le client à l'aide de la AWS KMS console ou de l' CreateKey opération.
-
La création de la clé renvoie un ARN que vous pouvez utiliser pour les opérations qui nécessitent l'utilisation de la clé (par exemple, lors de la création d'un projet ou d'un plan dans BDA), comme l'opération invokeDataAutomation Async.
-
Créez et associez une politique clé à la clé avec les autorisations requises. Pour créer une politique clé, suivez les étapes décrites dans la section Création d'une politique clé dans le guide du AWS KMS développeur.
Autorisations et politiques clés pour les ressources d'automatisation des Amazon Bedrock données
Après avoir créé une AWS KMS clé, vous devez y associer une politique clé. Les AWS KMS actions suivantes sont utilisées pour les clés qui chiffrent les ressources BDA :
-
kms:CreateGrant — Crée une subvention pour une clé gérée par le client en autorisant le service BDA à accéder à la AWS KMS clé spécifiée par le biais des opérations de subvention nécessaires pour InvokeDataAutomationAsync.
-
kms:DescribeKey — Fournit les informations clés gérées par le client pour permettre à BDA de valider la clé.
-
kms:GenerateDataKey — Fournit les informations clés gérées par le client pour permettre à BDA de valider l'accès des utilisateurs.
-
kms:Déchiffrer : déchiffre le texte chiffré stocké pour vérifier que le rôle dispose d'un accès approprié à la AWS KMS clé qui chiffre les ressources BDA.
Politique clé en matière d'automatisation Amazon Bedrock des données
Pour utiliser votre clé gérée par le client pour chiffrer les ressources BDA, incluez les instructions suivantes dans votre politique en matière de clés et ${account-id} ${region} remplacez-les ${key-id} par vos valeurs spécifiques. :
{
"Version": "2012-10-17",
"Id": "KMS key policy for a key to encrypt data for BDA resource",
"Statement": [
{
"Sid": "Permissions for encryption of data for BDA resources",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${account-id}:role/${role}"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.${region}.amazonaws.com"
]
}
}
}
]
}
Autorisations relatives aux rôles IAM
Le rôle IAM utilisé pour interagir avec BDA AWS KMS doit disposer des autorisations suivantes, remplacer ${region}${account-id}, et ${key-id} avec vos valeurs spécifiques :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.${region}.amazonaws.com"
]
}
}
}
} Contexte de chiffrement Amazon Bedrock Automation
BDA utilise le même contexte de chiffrement dans toutes les opérations cryptographiques d'AWS KMS, où la clé se trouve aws:bedrock:data-automation-customer-account-id et la valeur est votre identifiant de compte AWS. Un exemple de contexte de chiffrement est présenté ci-dessous.
"encryptionContext": { "bedrock:data-automation-customer-account-id": "account id" }
Utilisation du contexte de chiffrement pour la surveillance
Lorsque vous utilisez une clé symétrique gérée par le client pour chiffrer vos données, vous pouvez également utiliser le contexte de chiffrement dans les enregistrements et les journaux d'audit pour identifier la manière dont la clé gérée par le client est utilisée. Le contexte de chiffrement apparaît également dans les journaux générés par AWS CloudTrail ou Amazon CloudWatch Logs.
Utilisation du contexte de chiffrement pour contrôler l'accès à votre clé gérée par le client
Vous pouvez utiliser le contexte de chiffrement dans les politiques clés et les politiques IAM comme conditions pour contrôler l'accès à votre clé symétrique gérée par le client. Vous pouvez également utiliser des contraintes de contexte de chiffrement dans un octroi. BDA utilise une contrainte de contexte de chiffrement dans les autorisations afin de contrôler l'accès à la clé gérée par le client dans votre compte ou votre région. La contrainte d'octroi exige que les opérations autorisées par l'octroi utilisent le contexte de chiffrement spécifié.
Vous trouverez ci-dessous des exemples de déclarations de stratégie de clé permettant d'accorder l'accès à une clé gérée par le client dans un contexte de chiffrement spécifique. La condition énoncée dans cette déclaration de stratégie exige que les octrois comportent une contrainte de contexte de chiffrement qui spécifie le contexte de chiffrement.
[
{
"Sid": "Enable DescribeKey, Decrypt, GenerateDataKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleRole"
},
"Action": ["kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:bedrock:data-automation-customer-account-id": "111122223333"
},
"StringEquals": {
"kms:GrantOperations": ["Decrypt", "DescribeKey", "GenerateDataKey"]
}
}
}
]
Surveillance de vos clés de chiffrement pour l'automatisation Amazon Bedrock des données
Lorsque vous utilisez une clé gérée par le AWS KMS client avec vos ressources d'automatisation des Amazon Bedrock données, vous pouvez utiliser AWS CloudTrailou Amazon CloudWatchsuivre les demandes auxquelles Amazon Bedrock Data Automation envoie AWS KMS. Voici un exemple d' AWS CloudTrail événement permettant de CreateGrantsurveiller les AWS KMS opérations appelées par Amazon Bedrock Data Automation pour créer une subvention principale :
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForDataAutomation/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForDataAutomation",
"accountId": "111122223333",
"userName": "RoleForDataAutomation"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"constraints": {
"encryptionContextSubset": {
"aws:bedrock:data-automation-customer-account-id": "000000000000"
}
},
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}