Enkripsi Amazon Bedrock Studio - Amazon Bedrock
Buat kunci yang dikelola pelanggan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi Amazon Bedrock Studio

Amazon Bedrock Studio sedang dalam rilis pratinjau untuk Amazon Bedrock dan dapat berubah sewaktu-waktu.

Enkripsi data saat istirahat secara default membantu mengurangi overhead operasional dan kompleksitas yang terlibat dalam melindungi data sensitif. Pada saat yang sama, ini memungkinkan Anda untuk membangun aplikasi aman yang memenuhi kepatuhan enkripsi yang ketat dan persyaratan peraturan.

Amazon Bedrock Studio menggunakan kunci yang AWS dimiliki default untuk mengenkripsi data Anda secara otomatis saat istirahat. Anda tidak dapat melihat, mengelola, atau mengaudit penggunaan kunci yang AWS dimiliki. Untuk informasi selengkapnya, lihat kunci AWS yang dimiliki.

Meskipun Anda tidak dapat menonaktifkan lapisan enkripsi ini atau memilih jenis enkripsi alternatif, Anda dapat menambahkan lapisan enkripsi kedua di atas kunci enkripsi yang ada AWS dengan memilih kunci yang dikelola pelanggan saat membuat domain Amazon Bedrock Studio. Amazon Bedrock Studio mendukung penggunaan kunci terkelola pelanggan simetris yang dapat Anda buat, miliki, dan kelola untuk menambahkan enkripsi lapisan kedua melalui enkripsi AWS milik yang ada. Karena Anda memiliki kendali penuh atas lapisan enkripsi ini, di dalamnya Anda dapat melakukan tugas-tugas berikut:

  • Menetapkan dan memelihara kebijakan utama

  • Menetapkan dan memelihara kebijakan dan hibah IAM

  • Mengaktifkan dan menonaktifkan kebijakan utama

  • Putar bahan kriptografi kunci

  • Tambahkan tag

  • Buat alias kunci

  • Kunci jadwal untuk penghapusan

Untuk informasi selengkapnya, lihat Kunci terkelola pelanggan.

catatan

Amazon Bedrock Studio secara otomatis mengaktifkan enkripsi saat istirahat menggunakan kunci yang AWS dimiliki untuk melindungi data pelanggan tanpa biaya.

AWS Biaya KMS berlaku untuk menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, lihat Harga Layanan Manajemen AWS Utama.

Buat kunci yang dikelola pelanggan

Anda dapat membuat kunci terkelola pelanggan simetris dengan menggunakan AWS Management Console, atau AWS APIs KMS.

Untuk membuat kunci terkelola pelanggan simetris, ikuti langkah-langkah untuk Membuat kunci terkelola pelanggan simetris di Panduan Pengembang Layanan Manajemen AWS Kunci.

Kebijakan utama - kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat Mengelola akses ke kunci yang dikelola pelanggan di Panduan Pengembang Layanan Manajemen AWS Kunci.

catatan

Jika Anda menggunakan kunci yang dikelola pelanggan, pastikan untuk menandai AWS KMS kunci dengan kunci EnableBedrock dan nilaitrue. Untuk informasi selengkapnya, lihat Menandai kunci.

Untuk menggunakan kunci terkelola pelanggan dengan resource Amazon Bedrock Studio, operasi API berikut harus diizinkan dalam kebijakan kunci:

  • kms: CreateGrant — menambahkan hibah ke kunci yang dikelola pelanggan. Memberikan akses kontrol ke kunci KMS tertentu, yang memungkinkan akses untuk memberikan operasi yang diperlukan Amazon Bedrock Studio. Untuk informasi selengkapnya tentang Menggunakan Hibah, lihat Panduan Pengembang Layanan Manajemen AWS Kunci.

  • kms: DescribeKey — menyediakan detail kunci yang dikelola pelanggan untuk memungkinkan Amazon Bedrock Studio memvalidasi kunci.

  • kms: GenerateDataKey — mengembalikan kunci data simetris yang unik untuk digunakan di luar KMS. AWS

  • KMS: Decrypt — mendekripsi ciphertext yang dienkripsi oleh kunci KMS.

Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk Amazon Bedrock Studio. Untuk menggunakan kebijakan ini, lakukan hal berikut:

  • Ganti instance \{FIXME:REGION\} dengan AWS Wilayah yang Anda gunakan dan \{FIXME:ACCOUNT_ID\} dengan ID AWS akun Anda. \Karakter yang tidak valid di JSON menunjukkan di mana Anda perlu melakukan pembaruan. Sebagai contoh "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*" akan menjadi "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:use-east-1:111122223333:agent/*"

  • Ubah \{provisioning role name\} nama peran penyediaan yang akan Anda gunakan untuk ruang kerja yang menggunakan kunci.

  • Ubah \{Admin Role Name\} nama peran IAM yang akan memiliki hak administrasi untuk kunci tersebut.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "Enable IAM User Permissions Based on Tags",
    "Effect": "Allow",
    "Principal": {
      "AWS": "*"
    },
    "Action": [
      "kms:Decrypt",
      "kms:GenerateDataKey",
      "kms:GenerateDataKeyPair",
      "kms:GenerateDataKeyPairWithoutPlaintext",
      "kms:GenerateDataKeyWithoutPlaintext",
      "kms:Encrypt"
    ],
    "Resource": "\{FIXME:KMS_ARN\}",
    "Condition": {
      "StringEquals": {
        "aws:PrincipalTag/AmazonBedrockManaged": "true",
        "kms:CallerAccount" : "\{FIXME:ACCOUNT_ID\}"
      },
      "StringLike": {
        "aws:PrincipalTag/AmazonDataZoneEnvironment": "*"
      }
    }
  },
    {
      "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*"
        }
      }
    },
    {
      "Sid": "Allows AOSS list keys",
      "Effect": "Allow",
      "Principal": {
        "Service": "aoss.amazonaws.com"
      },
      "Action": "kms:ListKeys",
      "Resource": "*"
    },
    {
      "Sid": "Allows AOSS to create grants",
      "Effect": "Allow",
      "Principal": {
        "Service": "aoss.amazonaws.com"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:CreateGrant"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "aoss.\{FIXME:REGION\}.amazonaws.com"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    },
    {
      "Sid": "Enable Decrypt, GenerateDataKey for DZ execution role",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:root"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:datazone:domainId": "*"
        }
      }
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RetireGrant"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:CallerAccount": "\{FIXME:ACCOUNT_ID\}"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    },
    {
      "Sid": "AllowPermissionForEncryptedGuardrailsOnProvisioningRole",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{provisioning role name\}"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:CreateGrant",
        "kms:Encrypt"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow use of CMK to encrypt logs in their account",
      "Effect": "Allow",
      "Principal": {
        "Service": "logs.\{FIXME:REGION\}.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyPair",
        "kms:GenerateDataKeyPairWithoutPlaintext",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:log-group:*"
        }
      }
    },
    {
      "Sid": "Allow access for Key Administrators",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{Admin Role Name\}"
      },
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*",
        "kms:TagResource",
        "kms:UntagResource",
        "kms:ScheduleKeyDeletion",
        "kms:CancelKeyDeletion"
      ],
      "Resource": "*"
    }
  ]
}

Untuk informasi selengkapnya tentang menentukan izin dalam kebijakan, lihat Panduan Pengembang Layanan Manajemen AWS Kunci.

Untuk informasi selengkapnya tentang akses kunci pemecahan masalah, lihat Panduan Pengembang Layanan Manajemen AWS Kunci.