AWS Key Management Service dukungan dalam pekerjaan evaluasi model - Amazon Bedrock
Persyaratan kebijakan IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Key Management Service dukungan dalam pekerjaan evaluasi model

Amazon Bedrock menggunakan IAM berikut dan AWS KMS izin untuk menggunakan AWS KMS kunci Anda untuk mendekripsi file Anda dan mengaksesnya. Ini menyimpan file-file tersebut ke lokasi Amazon S3 internal yang dikelola oleh Amazon Bedrock dan menggunakan izin berikut untuk mengenkripsi mereka.

Persyaratan kebijakan IAM

Kebijakan IAM yang terkait dengan peran IAM yang Anda gunakan untuk membuat permintaan ke Amazon Bedrock harus memiliki elemen berikut. Untuk mempelajari lebih lanjut tentang mengelola AWS KMS kunci Anda, lihat Menggunakan kebijakan IAM dengan AWS Key Management Service.

Pekerjaan evaluasi model di Amazon Bedrock menggunakan kunci yang AWS dimiliki. Kunci KMS ini dimiliki oleh Amazon Bedrock. Untuk mempelajari selengkapnya tentang AWS kunci yang AWS dimiliki, lihat kunci yang dimiliki di Panduan AWS Key Management Service Pengembang.

Elemen kebijakan IAM yang diperlukan

  • kms:Decrypt— Untuk file yang telah Anda enkripsi dengan AWS Key Management Service kunci Anda, berikan Amazon Bedrock izin untuk mengakses dan mendekripsi file-file tersebut.

  • kms:GenerateDataKey— Mengontrol izin untuk menggunakan AWS Key Management Service kunci untuk menghasilkan kunci data. Amazon Bedrock menggunakan GenerateDataKey untuk mengenkripsi data sementara yang disimpannya untuk pekerjaan evaluasi.

  • kms:DescribeKey— Memberikan informasi rinci tentang kunci KMS.

  • kms:ViaService— Kunci kondisi membatasi penggunaan kunci KMS untuk permintaan dari AWS layanan tertentu. Anda harus menentukan Amazon S3 sebagai layanan karena Amazon Bedrock menyimpan salinan sementara data Anda di lokasi Amazon S3 yang dimilikinya.

Berikut ini adalah contoh kebijakan IAM yang hanya berisi tindakan dan sumber daya AWS KMS IAM yang diperlukan. 


{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "CustomKMSKeyProvidedToBedrock",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDataKey"
        ],
        "Resource": [
          "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]"
        ]
    },
    {
        "Sid": "CustomKMSDescribeKeyProvidedToBedrock",
        "Effect": "Allow",
        "Action": [
            "kms:DescribeKey"
        ],
        "Resource": [
          "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]"
        ]
    }
]
}

Menyiapkan izin KMS untuk peran yang memanggil API CreateEvaluationJob

Pastikan Anda memiliki DescribeKey, GenerateDataKey, dan Dekripsi izin untuk peran Anda yang digunakan untuk membuat pekerjaan evaluasi pada kunci KMS yang Anda gunakan dalam pekerjaan evaluasi Anda.

Contoh kebijakan kunci KMS


{
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/APICallingRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kmsDescribeKey"
            ],
            "Resource": "*"
       }
   ]
}

Contoh Kebijakan IAM untuk API Panggilan CreateEvaluationJob Peran


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/keyYouUse"
            ]
        }
   ]
}