Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Amazon Bedrock utilise l'IAM et les AWS KMS autorisations suivantes pour utiliser votre AWS KMS clé afin de déchiffrer vos fichiers et d'y accéder. Il enregistre ces fichiers dans un emplacement interne Amazon S3 géré par Amazon Bedrock et utilise les autorisations suivantes pour les chiffrer.
Exigences de la politique IAM
La politique IAM associée au rôle IAM que vous utilisez pour envoyer des demandes à Amazon Bedrock doit comporter les éléments suivants. Pour en savoir plus sur la gestion de vos AWS KMS clés, consultez la section Utilisation des politiques IAM avec AWS Key Management Service.
Les tâches d'évaluation de modèles dans Amazon Bedrock utilisent des clés AWS détenues. Ces clés KMS appartiennent à Amazon Bedrock. Pour en savoir plus sur les clés AWS détenues, consultez la section clés AWS détenues dans le Guide du AWS Key Management Service développeur.
Éléments de politique IAM requis
-
kms:Decrypt— Pour les fichiers que vous avez chiffrés avec votre AWS Key Management Service clé, fournit à Amazon Bedrock les autorisations nécessaires pour accéder à ces fichiers et les déchiffrer. -
kms:GenerateDataKey— Contrôle l'autorisation d'utiliser la AWS Key Management Service clé pour générer des clés de données. Amazon Bedrock les utiliseGenerateDataKeypour chiffrer les données temporaires qu'il stocke pour la tâche d'évaluation. -
kms:DescribeKey— Fournit des informations détaillées sur une clé KMS. -
kms:ViaService— La clé de condition limite l'utilisation d'une clé KMS aux demandes émanant de AWS services spécifiques. Vous devez spécifier Amazon S3 en tant que service, car Amazon Bedrock stocke une copie temporaire de vos données dans un emplacement Amazon S3 dont il est propriétaire.
Voici un exemple de politique IAM qui contient uniquement les actions et ressources AWS KMS IAM requises.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CustomKMSKeyProvidedToBedrock",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]"
]
},
{
"Sid": "CustomKMSDescribeKeyProvidedToBedrock",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]"
]
}
]
}Configuration des autorisations KMS pour les rôles appelant CreateEvaluationJob l'API
Assurez-vous que vous disposez des DescribeKey autorisations nécessaires pour le rôle que vous avez utilisé pour créer la tâche d'évaluation GenerateDataKey, et déchiffrez-les sur la clé KMS que vous utilisez dans votre tâche d'évaluation.
Exemple de politique relative aux clés KMS
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:role/APICallingRole"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kmsDescribeKey"
],
"Resource": "*"
}
]
}
Exemple de politique IAM pour l'API d'appel CreateEvaluationJob de rôles
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CustomKMSKeyProvidedToBedrockEncryption", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:account-id:key/keyYouUse" ] } ] }
