Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Enkripsi model kustom yang diimpor
<a name="encryption-import-model"></a>

Amazon Bedrock mendukung pembuatan model kustom melalui dua metode yang keduanya menggunakan pendekatan enkripsi yang sama. Model kustom Anda dikelola dan disimpan olehAWS:
+ **Pekerjaan impor model khusus** - Untuk mengimpor model fondasi sumber terbuka yang disesuaikan (seperti Mistral AI atau Llama model).
+ **Buat model khusus** - Untuk mengimpor model Amazon Nova yang Anda sesuaikan di SageMaker AI.

Untuk enkripsi model kustom Anda, Amazon Bedrock menyediakan opsi berikut: 
+ **AWSkunci yang dimiliki** - Secara default, Amazon Bedrock mengenkripsi model kustom yang diimpor dengan AWS kunci yang dimiliki. Anda tidak dapat melihat, mengelola, atau menggunakan kunci yang AWS dimiliki, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat [kunci yang AWS dimiliki](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#aws-owned-cmk) di *Panduan Pengembang Layanan Manajemen AWS Kunci*.
+ **Customer managed keys (CMK)** - Anda dapat memilih untuk menambahkan lapisan enkripsi kedua di atas kunci enkripsi yang ada AWS dengan memilih kunci yang dikelola pelanggan (CMK). Anda membuat, memiliki, dan mengelola kunci yang dikelola pelanggan Anda.

   Karena Anda memiliki kendali penuh atas lapisan enkripsi ini, di dalamnya Anda dapat melakukan tugas-tugas berikut: 
  + Menetapkan dan memelihara kebijakan utama
  + Menetapkan dan memelihara kebijakan dan hibah IAM
  + Mengaktifkan dan menonaktifkan kebijakan utama
  + Putar bahan kriptografi kunci
  + Tambahkan tag
  + Buat alias kunci
  + Kunci jadwal untuk penghapusan

  Untuk informasi selengkapnya, lihat [kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan Pengembang Layanan Manajemen AWS Kunci*.

**catatan**  
Untuk semua model kustom yang Anda impor, Amazon Bedrock secara otomatis mengaktifkan enkripsi saat istirahat menggunakan kunci yang AWS dimiliki untuk melindungi data pelanggan tanpa biaya. Jika Anda menggunakan kunci yang dikelola pelanggan, AWS KMS dikenakan biaya. Untuk informasi selengkapnya tentang harga, lihat [AWS Key Management ServiceHarga.](https://docs.aws.amazon.com/) .

## Bagaimana Amazon Bedrock menggunakan hibah di AWS KMS
<a name="import-model-kms-grants"></a>

Jika Anda menentukan kunci yang dikelola pelanggan untuk mengenkripsi model yang diimpor. Amazon Bedrock membuat AWS KMS [hibah](https://docs.aws.amazon.com/) **utama** yang terkait dengan model yang diimpor atas nama Anda dengan mengirimkan [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)permintaan keAWS KMS. Hibah ini memungkinkan Amazon Bedrock untuk mengakses dan menggunakan kunci yang dikelola pelanggan Anda. Hibah AWS KMS digunakan untuk memberikan Amazon Bedrock akses ke kunci KMS di akun pelanggan.

Amazon Bedrock memerlukan hibah utama untuk menggunakan kunci terkelola pelanggan Anda untuk operasi internal berikut:
+ Kirim [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)permintaan AWS KMS untuk memverifikasi bahwa ID kunci KMS yang dikelola pelanggan simetris yang Anda masukkan saat membuat pekerjaan valid.
+ Kirim [GenerateDataKey](https://docs.aws.amazon.com//kms/latest/APIReference/API_GenerateDataKey.html)dan [Dekripsi](https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html) permintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci yang dikelola pelanggan Anda dan mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi artefak model.
+ Kirim [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)permintaan AWS KMS untuk membuat hibah sekunder cakupan ke bawah dengan subset dari operasi di atas (`DescribeKey`,,`Decrypt`)`GenerateDataKey`, untuk eksekusi impor model secara asinkron dan untuk inferensi sesuai permintaan. 
+ Amazon Bedrock menentukan prinsipal pensiun selama pembuatan hibah, sehingga layanan dapat mengirim permintaan. [RetireGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_RetireGrant.html)

Anda memiliki akses penuh ke AWS KMS kunci yang dikelola pelanggan Anda. Anda dapat mencabut akses ke hibah dengan mengikuti langkah-langkah di [Pensiun dan pencabutan hibah](https://docs.aws.amazon.com//kms/latest/developerguide/grant-manage.html#grant-delete) di *Panduan Pengembang Layanan Manajemen AWS Kunci atau menghapus akses layanan* ke kunci yang dikelola pelanggan Anda kapan saja dengan memodifikasi kebijakan utama. Jika Anda melakukannya, Amazon Bedrock tidak akan dapat mengakses model impor yang dienkripsi oleh kunci Anda.

### Siklus hidup hibah primer dan sekunder untuk model impor khusus
<a name="import-model-kms-grants-lifecycle"></a>
+ **Hibah primer** memiliki umur yang panjang dan tetap aktif selama model kustom terkait masih digunakan. Ketika model impor kustom dihapus, hibah utama yang sesuai secara otomatis dihentikan.
+ **Hibah sekunder** berumur pendek. Mereka secara otomatis pensiun segera setelah operasi yang dilakukan Amazon Bedrock atas nama pelanggan selesai. Misalnya, setelah pekerjaan impor model kustom selesai, hibah sekunder yang memungkinkan Amazon Bedrock mengenkripsi model impor kustom akan segera dihentikan.