Chiffrement des données pour les tâches d’évaluation de modèle - Amazon Bedrock
AWS KMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des données pour les tâches d’évaluation de modèle

Pendant le travail d'évaluation du modèle, Amazon Bedrock crée une copie de vos données qui existent temporairement. Amazon Bedrock supprime les données une fois le travail terminé. Il utilise une AWS KMS clé pour le chiffrer. Il utilise soit une AWS KMS clé que vous spécifiez, soit une clé appartenant à Amazon Bedrock pour chiffrer les données.

Amazon Bedrock utilise IAM les AWS Key Management Service autorisations suivantes pour utiliser votre AWS KMS clé afin de déchiffrer vos données et de chiffrer la copie temporaire qu'elle crée.

AWS Key Management Service soutien dans les emplois d'évaluation de modèles

Lorsque vous créez une tâche d'évaluation de modèle à l'aide de AWS Management Console AWS CLI, ou d'une clé prise en charge, AWS SDK vous pouvez choisir d'utiliser une KMS clé appartenant à Amazon Bedrock ou votre propre clé gérée par le client. Si aucune clé gérée par le client n'est spécifiée, une clé appartenant à Amazon Bedrock est utilisée par défaut.

Pour utiliser une clé gérée par le client, vous devez ajouter les IAM actions et les ressources requises à la politique du rôle de IAM service. Vous devez également ajouter les AWS KMS principaux éléments de politique requis.

Vous devez également créer une politique capable d'interagir avec votre clé gérée par le client. Ceci est spécifié dans une politique AWS KMS clé distincte.

Amazon Bedrock utilise IAM les AWS KMS autorisations suivantes pour utiliser votre AWS KMS clé afin de déchiffrer vos fichiers et d'y accéder. Il enregistre ces fichiers dans un emplacement interne Amazon S3 géré par Amazon Bedrock et utilise les autorisations suivantes pour les chiffrer.

IAMexigences en matière de politique

La IAM politique associée au IAM rôle que vous utilisez pour envoyer des demandes à Amazon Bedrock doit comporter les éléments suivants. Pour en savoir plus sur la gestion de vos AWS KMS clés, consultez la section Utilisation IAM de politiques avec AWS Key Management Service.

Les tâches d'évaluation de modèles dans Amazon Bedrock utilisent des clés AWS détenues. Ces KMS clés appartiennent à Amazon Bedrock. Pour en savoir plus sur les clés AWS détenues, consultez la section clés AWS détenues dans le Guide du AWS Key Management Service développeur.

Éléments IAM de politique requis

  • kms:Decrypt— Pour les fichiers que vous avez chiffrés avec votre AWS Key Management Service clé, fournit à Amazon Bedrock les autorisations nécessaires pour accéder à ces fichiers et les déchiffrer.

  • kms:GenerateDataKey— Contrôle l'autorisation d'utiliser la AWS Key Management Service clé pour générer des clés de données. Amazon Bedrock les utilise GenerateDataKey pour chiffrer les données temporaires qu'il stocke pour la tâche d'évaluation.

  • kms:DescribeKey— Fournit des informations détaillées sur une KMS clé.

  • kms:ViaService— La clé de condition limite l'utilisation d'une KMS clé aux demandes émanant de AWS services spécifiques. Vous devez spécifier Amazon S3 en tant que service, car Amazon Bedrock stocke une copie temporaire de vos données dans un emplacement Amazon S3 dont il est propriétaire.

Voici un exemple de IAM politique qui contient uniquement les AWS KMS IAM actions et les ressources requises. 


{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "CustomKMSKeyProvidedToBedrock",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDataKey"
        ],
        "Resource": [
          "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": "s3.{{region}}.amazonaws.com"
            }
        }
    },
    {
        "Sid": "CustomKMSDescribeKeyProvidedToBedrock",
        "Effect": "Allow",
        "Action": [
            "kms:DescribeKey"
        ],
        "Resource": [
          "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]"
        ]
    }
]
}

AWS KMS principales exigences en matière de politique

Chaque AWS KMS clé doit avoir exactement une politique clé. Les déclarations contenues dans la politique relative aux clés déterminent qui est autorisé à utiliser la AWS KMS clé et comment il peut l'utiliser. Vous pouvez également utiliser des IAM politiques et des autorisations pour contrôler l'accès à la AWS KMS clé, mais chaque AWS KMS clé doit être associée à une politique clé.

Éléments de politique AWS KMS clés requis dans Amazon Bedrock

  • kms:Decrypt— Pour les fichiers que vous avez chiffrés avec votre AWS Key Management Service clé, fournit à Amazon Bedrock les autorisations nécessaires pour accéder à ces fichiers et les déchiffrer.

  • kms:GenerateDataKey— Contrôle l'autorisation d'utiliser la AWS Key Management Service clé pour générer des clés de données. Amazon Bedrock les utilise GenerateDataKey pour chiffrer les données temporaires qu'il stocke pour la tâche d'évaluation.

  • kms:DescribeKey— Fournit des informations détaillées sur une KMS clé.

Vous devez ajouter la déclaration suivante à votre politique AWS KMS clé existante. Il fournit à Amazon Bedrock l'autorisation de stocker temporairement vos données dans un bucket de service Amazon Bedrock en utilisant celui AWS KMS que vous avez spécifié.

{
	"Effect": "Allow",
	"Principal": {
	    "Service": "bedrock.amazonaws.com"
	},
	"Action": [
	    "kms:GenerateDataKey",
	    "kms:Decrypt",
	    "kms:DescribeKey"
	],
	"Resource": "*",
	"Condition": {
	    "StringLike": {
	        "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*",
	        "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*"
	    }
	}
}

Voici un exemple de AWS KMS politique complète.

{
"Version": "2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
    {
        "Sid": "EnableIAMUserPermissions",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::{{CustomerAccountId}}:root"
        },
        "Action": "kms:*",
        "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Principal": {
            "Service": "bedrock.amazonaws.com"
        },
        "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt",
            "kms:DescribeKey"
        ],
        "Resource": "*",
        "Condition": {
            "StringLike": {
                "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*",
                "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*"
            }
        }
    }
]
}