Diperlukan Elemen kebijakan utama untuk mengenkripsi pekerjaan evaluasi model Anda menggunakan AWS KMS - Amazon Bedrock

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Diperlukan Elemen kebijakan utama untuk mengenkripsi pekerjaan evaluasi model Anda menggunakan AWS KMS

Setiap AWS KMS kunci harus memiliki satu kebijakan kunci. Pernyataan dalam kebijakan kunci menentukan siapa yang memiliki izin untuk menggunakan AWS KMS kunci dan bagaimana mereka dapat menggunakannya. Anda juga dapat menggunakan kebijakan dan hibah IAM untuk mengontrol akses ke AWS KMS kunci, tetapi setiap AWS KMS kunci harus memiliki kebijakan kunci.

Elemen kebijakan AWS KMS utama yang diperlukan di Amazon Bedrock
  • kms:Decrypt— Untuk file yang telah Anda enkripsi dengan AWS Key Management Service kunci Anda, berikan Amazon Bedrock izin untuk mengakses dan mendekripsi file-file tersebut.

  • kms:GenerateDataKey— Mengontrol izin untuk menggunakan AWS Key Management Service kunci untuk menghasilkan kunci data. Amazon Bedrock menggunakan GenerateDataKey untuk mengenkripsi data sementara yang disimpannya untuk pekerjaan evaluasi.

  • kms:DescribeKey— Memberikan informasi rinci tentang kunci KMS.

Anda harus menambahkan pernyataan berikut ke kebijakan AWS KMS kunci yang ada. Ini memberi Amazon Bedrock izin untuk menyimpan sementara data Anda di bucket layanan Amazon Bedrock menggunakan AWS KMS yang telah Anda tentukan.

{ "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*", "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*" } } }

Berikut ini adalah contoh AWS KMS kebijakan lengkap.

{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "EnableIAMUserPermissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{CustomerAccountId}}:root" }, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*", "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*" } } } ] }

Menyiapkan izin KMS untuk peran yang memanggil API CreateEvaluationJob

Pastikan Anda memiliki DescribeKey, GenerateDataKey, dan Dekripsi izin untuk peran Anda yang digunakan untuk membuat pekerjaan evaluasi pada kunci KMS yang Anda gunakan dalam pekerjaan evaluasi Anda.

Contoh kebijakan kunci KMS

{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:role/APICallingRole" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kmsDescribeKey" ], "Resource": "*" } ] }

Contoh Kebijakan IAM untuk API Panggilan CreateEvaluationJob Peran

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CustomKMSKeyProvidedToBedrockEncryption", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:account-id:key/keyYouUse" ] } ] }