Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Si vous envisagez d'utiliser une clé gérée par le client pour chiffrer votre modèle importé personnalisé, procédez comme suit :
-
Créez une clé gérée par le client à l'aide du AWS Key Management Service.
-
Associez une politique basée sur les ressources avec des autorisations pour les rôles spécifiés afin de créer et d'utiliser des modèles importés personnalisés.
Création d'une clé gérée par le client
Vérifiez d'abord que vous disposez des CreateKey autorisations nécessaires. Suivez ensuite les étapes de création de clés pour créer des clés gérées par le client, soit dans la AWS KMS console, soit dans le cadre de l'opération CreateKeyAPI. Assurez-vous de créer une clé de chiffrement symétrique.
La création de la clé renvoie un Arn pour la clé que vous pouvez utiliser importedModelKmsKeyId lors de l'importation d'un modèle personnalisé avec l'importation de modèle personnalisé.
Créez une politique clé et associez-la à la clé gérée par le client
Les politiques clés sont des politiques basées sur les ressources que vous associez à votre clé gérée par le client pour contrôler l'accès à celle-ci. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Vous pouvez définir une politique clé lorsque vous créez votre clé gérée par le client. Vous pouvez modifier la politique clé à tout moment, mais il se peut qu'il y ait un bref délai avant que la modification ne soit complètement disponible AWS KMS. Pour plus d'informations, consultez Gestion de l'accès aux clés gérées par le client dans le Guide du développeur AWS AWS Key Management Service.
Chiffrer le modèle personnalisé importé qui en résulte
Pour utiliser votre clé gérée par le client pour chiffrer un modèle personnalisé importé, vous devez inclure les AWS KMS opérations suivantes dans la politique de clé :
-
kms : CreateGrant — crée une subvention pour une clé gérée par le client en autorisant le principal du service Amazon Bedrock à accéder à la clé KMS spécifiée par le biais d'opérations de subvention. Pour plus d'informations sur les subventions, consultez la section Grants AWS KMS dans le guide du développeur du service de gestion des AWS clés.
Note
Amazon Bedrock met également en place un capital de retraite et retire automatiquement la subvention lorsqu'elle n'est plus requise.
-
kms : DescribeKey — fournit les informations clés gérées par le client pour permettre à Amazon Bedrock de valider la clé.
-
kms : GenerateDataKey — Fournit les informations clés gérées par le client pour permettre à Amazon Bedrock de valider l'accès des utilisateurs. Amazon Bedrock stocke le texte chiffré généré à côté du modèle personnalisé importé à utiliser comme contrôle de validation supplémentaire auprès des utilisateurs du modèle personnalisé importé.
-
KMS:Decrypt — Déchiffre le texte chiffré stocké pour vérifier que le rôle dispose d'un accès approprié à la clé KMS qui chiffre le modèle personnalisé importé.
Voici un exemple de politique que vous pouvez associer à une clé pour un rôle que vous utiliserez pour chiffrer un modèle personnalisé importé :
{
"Version": "2012-10-17",
"Id": "KMS key policy for a key to encrypt an imported custom model",
"Statement": [
{
"Sid": "Permissions for model import API invocation role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${account-id}:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
}
]
}
Déchiffrer un modèle personnalisé importé crypté
Si vous importez un modèle personnalisé qui a déjà été chiffré par une autre clé gérée par le client, vous devez ajouter kms:Decrypt des autorisations pour le même rôle, conformément à la politique suivante :
{
"Version": "2012-10-17",
"Id": "KMS key policy for a key that encrypted a custom imported model",
"Statement": [
{
"Sid": "Permissions for model import API invocation role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${account-id}:user/role"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
]
}
