Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi data untuk pekerjaan evaluasi model
Selama pekerjaan evaluasi model, Amazon Bedrock membuat salinan data Anda yang ada sementara. Amazon Bedrock menghapus data setelah pekerjaan selesai. Ini menggunakan AWS KMS kunci untuk mengenkripsi itu. Ini menggunakan AWS KMS kunci yang Anda tentukan atau kunci milik Amazon Bedrock untuk mengenkripsi data.
Amazon Bedrock menggunakan IAM berikut dan AWS Key Management Service izin untuk menggunakan AWS KMS kunci Anda untuk mendekripsi data Anda dan mengenkripsi salinan sementara yang dibuatnya.
AWS Key Management Service dukungan dalam pekerjaan evaluasi model
Saat Anda membuat pekerjaan evaluasi model menggunakan AWS SDK AWS Management Console, atau yang didukung AWS CLI, Anda dapat memilih untuk menggunakan kunci KMS milik Amazon Bedrock atau kunci yang dikelola pelanggan Anda sendiri. Jika tidak ada kunci terkelola pelanggan yang ditentukan maka kunci milik Amazon Bedrock digunakan secara default.
Untuk menggunakan kunci yang dikelola pelanggan, Anda harus menambahkan tindakan dan sumber daya IAM yang diperlukan ke kebijakan peran layanan IAM. Anda juga harus menambahkan elemen kebijakan AWS KMS kunci yang diperlukan.
Anda juga perlu membuat kebijakan yang dapat berinteraksi dengan kunci yang dikelola pelanggan Anda. Ini ditentukan dalam kebijakan AWS KMS kunci terpisah.
Amazon Bedrock menggunakan IAM berikut dan AWS KMS izin untuk menggunakan AWS KMS kunci Anda untuk mendekripsi file Anda dan mengaksesnya. Ini menyimpan file-file tersebut ke lokasi Amazon S3 internal yang dikelola oleh Amazon Bedrock dan menggunakan izin berikut untuk mengenkripsi mereka.
Persyaratan kebijakan IAM
Kebijakan IAM yang terkait dengan peran IAM yang Anda gunakan untuk membuat permintaan ke Amazon Bedrock harus memiliki elemen berikut. Untuk mempelajari lebih lanjut tentang mengelola AWS KMS kunci Anda, lihat Menggunakan kebijakan IAM dengan AWS Key Management Service.
Pekerjaan evaluasi model di Amazon Bedrock menggunakan kunci yang AWS dimiliki. Kunci KMS ini dimiliki oleh Amazon Bedrock. Untuk mempelajari selengkapnya tentang AWS kunci yang AWS dimiliki, lihat kunci yang dimiliki di Panduan AWS Key Management Service Pengembang.
Elemen kebijakan IAM yang diperlukan
-
kms:Decrypt— Untuk file yang telah Anda enkripsi dengan AWS Key Management Service kunci Anda, berikan Amazon Bedrock izin untuk mengakses dan mendekripsi file-file tersebut. -
kms:GenerateDataKey— Mengontrol izin untuk menggunakan AWS Key Management Service kunci untuk menghasilkan kunci data. Amazon Bedrock menggunakanGenerateDataKeyuntuk mengenkripsi data sementara yang disimpannya untuk pekerjaan evaluasi. -
kms:DescribeKey— Memberikan informasi rinci tentang kunci KMS. -
kms:ViaService— Kunci kondisi membatasi penggunaan kunci KMS untuk permintaan dari AWS layanan tertentu. Anda harus menentukan Amazon S3 sebagai layanan karena Amazon Bedrock menyimpan salinan sementara data Anda di lokasi Amazon S3 yang dimilikinya.
Berikut ini adalah contoh kebijakan IAM yang hanya berisi tindakan dan sumber daya AWS KMS IAM yang diperlukan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CustomKMSKeyProvidedToBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]" ], "Condition": { "StringEquals": { "kms:ViaService": "s3.{{region}}.amazonaws.com" } } }, { "Sid": "CustomKMSDescribeKeyProvidedToBedrock", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]" ] } ] }
AWS KMS persyaratan kebijakan utama
Setiap AWS KMS kunci harus memiliki satu kebijakan kunci. Pernyataan dalam kebijakan kunci menentukan siapa yang memiliki izin untuk menggunakan AWS KMS kunci dan bagaimana mereka dapat menggunakannya. Anda juga dapat menggunakan kebijakan dan hibah IAM untuk mengontrol akses ke AWS KMS kunci, tetapi setiap AWS KMS kunci harus memiliki kebijakan kunci.
Elemen kebijakan AWS KMS utama yang diperlukan di Amazon Bedrock
-
kms:Decrypt— Untuk file yang telah Anda enkripsi dengan AWS Key Management Service kunci Anda, berikan Amazon Bedrock izin untuk mengakses dan mendekripsi file-file tersebut. -
kms:GenerateDataKey— Mengontrol izin untuk menggunakan AWS Key Management Service kunci untuk menghasilkan kunci data. Amazon Bedrock menggunakanGenerateDataKeyuntuk mengenkripsi data sementara yang disimpannya untuk pekerjaan evaluasi. -
kms:DescribeKey— Memberikan informasi rinci tentang kunci KMS.
Anda harus menambahkan pernyataan berikut ke kebijakan AWS KMS kunci yang ada. Ini memberi Amazon Bedrock izin untuk menyimpan sementara data Anda di bucket layanan Amazon Bedrock menggunakan AWS KMS yang telah Anda tentukan.
{ "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*", "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*" } } }
Berikut ini adalah contoh AWS KMS kebijakan lengkap.
{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "EnableIAMUserPermissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{CustomerAccountId}}:root" }, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*", "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*" } } } ] }
