Chiffrement de l'importation de modèles personnalisés - Amazon Bedrock
Comment Amazon Bedrock utilise les subventions dans AWS KMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement de l'importation de modèles personnalisés

L'importation de modèles personnalisés est en version préliminaire pour Amazon Bedrock et est susceptible d'être modifiée.

Amazon Bedrock permet de créer un modèle personnalisé en utilisant la fonction d'importation de modèles personnalisés pour importer des modèles que vous avez créés dans d'autres environnements, tels qu'Amazon SageMaker. Vos modèles importés personnalisés sont gérés et stockés par AWS. Pour plus d'informations, voir Importer un modèle.

Pour le chiffrement de votre modèle importé personnalisé, Amazon Bedrock propose les options suivantes :

  • AWS clés détenues — Par défaut, Amazon Bedrock chiffre les modèles importés personnalisés à l'aide de clés AWS détenues. Vous ne pouvez pas afficher, gérer ou utiliser les clés que vous AWS possédez, ni auditer leur utilisation. Toutefois, vous n'avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d'informations, consultez Clés détenues par AWS dans le Guide du développeur AWS Key Management Service.

  • Clés gérées par le client (CMK) — Vous pouvez choisir d'ajouter une deuxième couche de chiffrement aux clés de chiffrement AWS détenues existantes en choisissant une clé gérée par le client (CMK). Vous créez, détenez et gérez les clés gérées par vos clients.

    Comme vous avez le contrôle total de cette couche de chiffrement, vous pouvez y effectuer les tâches suivantes :

    • Établir et maintenir des politiques clés

    • Établir et maintenir IAM des politiques et des subventions

    • Activer et désactiver les politiques clés

    • Faire pivoter le matériel cryptographique clé

    • Ajout de balises

    • Création d'alias clés

    • Planifier la suppression des clés

    Pour plus d'informations, consultez la section sur les clés gérées par le client dans le Guide du développeur du service de gestion des AWS clés.

Note

Pour tous les modèles personnalisés que vous importez, Amazon Bedrock active automatiquement le chiffrement au repos à l'aide de clés AWS détenues afin de protéger gratuitement les données des clients. Si vous utilisez une clé gérée par le client, AWS KMS des frais s'appliquent. Pour plus d'informations sur la tarification, consultez la section AWS Key Management Service Tarification. .

Comment Amazon Bedrock utilise les subventions dans AWS KMS

Si vous spécifiez une clé gérée par le client pour chiffrer le modèle importé. Amazon Bedrock crée une AWS KMS subvention principale associée au modèle importé en votre nom en envoyant une CreateGrantdemande à AWS KMS. Cette subvention permet à Amazon Bedrock d'accéder à votre clé gérée par le client et de l'utiliser. Les subventions AWS KMS sont utilisées pour donner à Amazon Bedrock l'accès à une KMS clé du compte d'un client.

Amazon Bedrock a besoin de la subvention principale pour utiliser votre clé gérée par le client pour les opérations internes suivantes :

  • Envoyez DescribeKeydes demandes AWS KMS à pour vérifier que l'ID de KMS clé symétrique géré par le client que vous avez saisi lors de la création de la tâche est valide.

  • Envoyez GenerateDataKeyet déchiffrez des demandes visant AWS KMS à générer des clés de données chiffrées par la clé gérée par votre client et à déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer les artefacts du modèle.

  • Envoyez des CreateGrantdemandes AWS KMS à pour créer des autorisations secondaires limitées avec un sous-ensemble des opérations ci-dessus (DescribeKey,,Decrypt)GenerateDataKey, pour l'exécution asynchrone de l'importation de modèles et pour l'inférence à la demande.

  • Amazon Bedrock indique un capital partant à la retraite lors de la création des subventions, afin que le service puisse envoyer une RetireGrantdemande.

Vous avez un accès complet à votre AWS KMS clé gérée par le client. Vous pouvez révoquer l'accès à la subvention en suivant les étapes décrites dans la section Retrait et révocation des subventions dans le guide du développeur du service de gestion des AWS clés, ou supprimer l'accès du service à votre clé gérée par le client à tout moment en modifiant la politique relative aux clés. Dans ce cas, Amazon Bedrock ne pourra pas accéder au modèle importé chiffré par votre clé.

Cycle de vie des subventions principales et secondaires pour les modèles importés personnalisés

  • Les subventions principales ont une longue durée de vie et restent actives tant que les modèles personnalisés associés sont toujours utilisés. Lorsqu'un modèle importé personnalisé est supprimé, la subvention principale correspondante est automatiquement retirée.

  • Les subventions secondaires sont de courte durée. Ils sont automatiquement retirés dès que l'opération effectuée par Amazon Bedrock pour le compte des clients est terminée. Par exemple, une fois qu'une tâche d'importation de modèle personnalisé est terminée, la subvention secondaire qui a permis à Amazon Bedrock de chiffrer le modèle importé personnalisé sera immédiatement retirée.