Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia di Amazon Bedrock Studio
Amazon Bedrock Studio è in versione di anteprima per Amazon Bedrock ed è soggetto a modifiche. |
La crittografia predefinita dei dati a riposo aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili. Allo stesso tempo, consente di creare applicazioni sicure che soddisfano i rigorosi requisiti normativi e di conformità alla crittografia.
Amazon Bedrock Studio utilizza chiavi AWS di proprietà predefinite per crittografare automaticamente i dati inattivi. Non puoi visualizzare, gestire o controllare l'uso delle chiavi di AWS proprietà. Per ulteriori informazioni, consulta chiavi AWS possedute.
Sebbene non sia possibile disabilitare questo livello di crittografia o selezionare un tipo di crittografia alternativo, puoi aggiungere un secondo livello di crittografia alle chiavi di crittografia di AWS proprietà esistenti scegliendo una chiave gestita dal cliente quando crei i tuoi domini Amazon Bedrock Studio. Amazon Bedrock Studio supporta l'uso di chiavi simmetriche gestite dal cliente che puoi creare, possedere e gestire per aggiungere un secondo livello di crittografia rispetto alla crittografia di proprietà esistente AWS . Poiché hai il pieno controllo di questo livello di crittografia, in esso puoi eseguire le seguenti attività:
-
Stabilire e mantenere le politiche chiave
-
Stabilire e mantenere IAM politiche e sovvenzioni
-
Abilita e disabilita le politiche chiave
-
Ruota il materiale crittografico chiave
-
Aggiunta di tag
-
Crea alias chiave
-
Pianifica l'eliminazione delle chiavi
Per ulteriori informazioni, consulta Customer managed keys.
Nota
Amazon Bedrock Studio abilita automaticamente la crittografia dei dati inattivi utilizzando chiavi AWS proprietarie per proteggere i dati dei clienti senza alcun costo.
AWS KMSsi applicano costi per l'utilizzo di chiavi gestite dal cliente. Per ulteriori informazioni sui prezzi, consulta la sezione Prezzi del servizio di gestione delle AWS chiavi
Creazione di una chiave gestita dal cliente
È possibile creare una chiave simmetrica gestita dal cliente utilizzando la console di AWS gestione o il. AWS KMS APIs
Per creare una chiave simmetrica gestita dal cliente, segui i passaggi per la creazione di una chiave gestita dal cliente simmetrica nella Key Management Service Developer Guide. AWS
Politica chiave: le politiche chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Gestire l'accesso alle chiavi gestite dal cliente nella AWS Key Management Service Developer Guide.
Nota
Se utilizzi una chiave gestita dal cliente, assicurati di etichettare la AWS KMS chiave con la chiave EnableBedrock
e il valore ditrue
. Per ulteriori informazioni, consulta Etichettatura delle chiavi.
Per utilizzare la chiave gestita dai clienti con le tue risorse Amazon Bedrock Studio, nella policy chiave devono essere consentite le seguenti API operazioni:
-
kms: CreateGrant — aggiunge una concessione a una chiave gestita dal cliente. Concede l'accesso di controllo a una KMS chiave specificata, che consente l'accesso alle operazioni di concessione richieste da Amazon Bedrock Studio. Per ulteriori informazioni sull'utilizzo di Grants, consulta la AWS Key Management Service Developer Guide.
-
kms: DescribeKey — fornisce i dettagli chiave gestiti dal cliente per consentire ad Amazon Bedrock Studio di convalidare la chiave.
-
kms: GenerateDataKey — restituisce una chiave dati simmetrica unica da utilizzare al di fuori di. AWS KMS
-
kms:Decrypt — decrittografa il testo cifrato che è stato crittografato da una chiave. KMS
Di seguito è riportato un esempio di dichiarazione politica che puoi aggiungere per Amazon Bedrock Studio. Per utilizzare la policy, procedi come segue:
-
Sostituisci le istanze di
\{FIXME:REGION\}
con la AWS regione che stai utilizzando e\{FIXME:ACCOUNT_ID\}
con l'ID AWS del tuo account. I\
caratteri non validi JSON indicano dove è necessario effettuare gli aggiornamenti. Ad esempio"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*"
diventerebbe"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:use-east-1:111122223333:agent/*"
-
Passa
\{provisioning role name\}
al nome del ruolo di provisioning che utilizzerai per l'area di lavoro che utilizza la chiave. Passa
\{Admin Role Name\}
al nome del IAM ruolo che avrà i privilegi di amministrazione per la chiave.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "Enable IAM User Permissions Based on Tags", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyPair", "kms:GenerateDataKeyPairWithoutPlaintext", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringEquals": { "aws:PrincipalTag/AmazonBedrockManaged": "true", "kms:CallerAccount" : "\{FIXME:ACCOUNT_ID\}" }, "StringLike": { "aws:PrincipalTag/AmazonDataZoneEnvironment": "*" } } }, { "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringLike": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*" } } }, { "Sid": "Allows AOSS list keys", "Effect": "Allow", "Principal": { "Service": "aoss.amazonaws.com" }, "Action": "kms:ListKeys", "Resource": "*" }, { "Sid": "Allows AOSS to create grants", "Effect": "Allow", "Principal": { "Service": "aoss.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringEquals": { "kms:ViaService": "aoss.\{FIXME:REGION\}.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "Enable Decrypt, GenerateDataKey for DZ execution role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:root" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringLike": { "kms:EncryptionContext:aws:datazone:domainId": "*" } } }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RetireGrant" ], "Resource": "*", "Condition": { "StringLike": { "kms:CallerAccount": "\{FIXME:ACCOUNT_ID\}" }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "AllowPermissionForEncryptedGuardrailsOnProvisioningRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{provisioning role name\}" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey", "kms:CreateGrant", "kms:Encrypt" ], "Resource": "*" }, { "Sid": "Allow use of CMK to encrypt logs in their account", "Effect": "Allow", "Principal": { "Service": "logs.\{FIXME:REGION\}.amazonaws.com" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKey", "kms:GenerateDataKeyPair", "kms:GenerateDataKeyPairWithoutPlaintext", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey" ], "Resource": "*", "Condition": { "ArnLike": { "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:log-group:*" } } }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{Admin Role Name\}" }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" } ] }
Per ulteriori informazioni sulla specificazione delle autorizzazioni in una politica, consulta la AWS Key Management Service Developer Guide.
Per ulteriori informazioni sulla risoluzione dei problemi di accesso tramite chiave, consulta la AWS Key Management Service Developer Guide.