Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Diperlukan Elemen kebijakan utama untuk mengenkripsi pekerjaan evaluasi model Anda menggunakan AWS KMS

RSS
Mode fokus
Diperlukan Elemen kebijakan utama untuk mengenkripsi pekerjaan evaluasi model Anda menggunakan AWS KMS - Amazon Bedrock
Menyiapkan izin KMS untuk peran yang memanggil API CreateEvaluationJob

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Setiap AWS KMS kunci harus memiliki satu kebijakan kunci. Pernyataan dalam kebijakan kunci menentukan siapa yang memiliki izin untuk menggunakan AWS KMS kunci dan bagaimana mereka dapat menggunakannya. Anda juga dapat menggunakan kebijakan dan hibah IAM untuk mengontrol akses ke AWS KMS kunci, tetapi setiap AWS KMS kunci harus memiliki kebijakan kunci.

Elemen kebijakan AWS KMS utama yang diperlukan di Amazon Bedrock

  • kms:Decrypt— Untuk file yang telah Anda enkripsi dengan AWS Key Management Service kunci Anda, berikan Amazon Bedrock izin untuk mengakses dan mendekripsi file-file tersebut.

  • kms:GenerateDataKey— Mengontrol izin untuk menggunakan AWS Key Management Service kunci untuk menghasilkan kunci data. Amazon Bedrock menggunakan GenerateDataKey untuk mengenkripsi data sementara yang disimpannya untuk pekerjaan evaluasi.

  • kms:DescribeKey— Memberikan informasi rinci tentang kunci KMS.

Anda harus menambahkan pernyataan berikut ke kebijakan AWS KMS kunci yang ada. Ini memberi Amazon Bedrock izin untuk menyimpan sementara data Anda di bucket layanan Amazon Bedrock menggunakan AWS KMS yang telah Anda tentukan.

{
	"Effect": "Allow",
	"Principal": {
	    "Service": "bedrock.amazonaws.com"
	},
	"Action": [
	    "kms:GenerateDataKey",
	    "kms:Decrypt",
	    "kms:DescribeKey"
	],
	"Resource": "*",
	"Condition": {
	    "StringLike": {
	        "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*",
	        "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*"
	    }
	}
}

Berikut ini adalah contoh AWS KMS kebijakan lengkap.

{
"Version": "2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
    {
        "Sid": "EnableIAMUserPermissions",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::{{CustomerAccountId}}:root"
        },
        "Action": "kms:*",
        "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Principal": {
            "Service": "bedrock.amazonaws.com"
        },
        "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt",
            "kms:DescribeKey"
        ],
        "Resource": "*",
        "Condition": {
            "StringLike": {
                "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*",
                "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*"
            }
        }
    }
]
}

Menyiapkan izin KMS untuk peran yang memanggil API CreateEvaluationJob

Pastikan Anda memiliki DescribeKey, GenerateDataKey, dan Dekripsi izin untuk peran Anda yang digunakan untuk membuat pekerjaan evaluasi pada kunci KMS yang Anda gunakan dalam pekerjaan evaluasi Anda.

Contoh kebijakan kunci KMS


{
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/APICallingRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kmsDescribeKey"
            ],
            "Resource": "*"
       }
   ]
}

Contoh Kebijakan IAM untuk API Panggilan CreateEvaluationJob Peran


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/keyYouUse"
            ]
        }
   ]
}

Di halaman ini

Related resources

Amazon Bedrock Referensi API
AWS CLI perintah untuk Amazon Bedrock
SDKs & Alat 

Related resources

Amazon Bedrock Referensi API
AWS CLI perintah untuk Amazon Bedrock
SDKs & Alat 
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.