Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crittografia di modelli personalizzati importati
Amazon Bedrock supporta la creazione di modelli personalizzati tramite due metodi che utilizzano entrambi lo stesso approccio di crittografia. I tuoi modelli personalizzati sono gestiti e archiviati daAWS:
+ **Processi di importazione di modelli personalizzati**: per importare modelli di fondazione open-source personalizzati (come i modelli Mistral AI o Llama).
+ **Crea un modello personalizzato**: per importare modelli Amazon Nova che hai personalizzato in SageMaker AI.
Per la crittografia dei modelli personalizzati, Amazon Bedrock offre le seguenti opzioni di personalizzazione:
+ **AWSchiavi possedute**: per impostazione predefinita, Amazon Bedrock crittografa i modelli personalizzati importati con chiavi AWS di proprietà. Non puoi visualizzare, gestire o utilizzare chiavi AWS di proprietà o controllarne l'utilizzo. Tuttavia, non è necessario intraprendere azioni o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta [Chiavi di proprietà di AWS](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#aws-owned-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service*.
+ **Chiavi gestite dal cliente (CMK)**: puoi scegliere di aggiungere un secondo livello di crittografia alle chiavi di crittografia di AWS proprietà esistenti scegliendo una chiave gestita dal cliente (CMK). È possibile creare, possedere e gestire chiavi gestite dal cliente.
Il controllo completo consente di eseguire in questo livello di crittografia le seguenti operazioni:
+ Stabilire e mantenere le policy della chiave
+ Stabilire e mantenere concessioni e policy IAM
+ Abilitare e disabilitare le policy della chiave
+ Ruotare i materiali crittografici delle chiavi
+ Aggiungere tag
+ Creare alias delle chiavi
+ Pianificare l’eliminazione di chiavi
Per ulteriori informazioni, consulta [Chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service*.
**Nota**
Per tutti i modelli personalizzati importati, Amazon Bedrock abilita automaticamente la crittografia dei dati inattivi utilizzando chiavi AWS proprietarie per proteggere i dati dei clienti senza alcun costo. Se utilizzi una chiave gestita dal cliente, verranno AWS KMS addebitati dei costi. Per ulteriori informazioni sui prezzi, consulta [Prezzi di AWS Key Management Service](https://docs.aws.amazon.com/).
## In che modo Amazon Bedrock utilizza le sovvenzioni in AWS KMS
Se per crittografare il modello importato specifichi una chiave gestita dal cliente, Amazon Bedrock crea una AWS KMS [sovvenzione](https://docs.aws.amazon.com/) **principale** associata al modello importato per tuo conto inviando una [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)richiesta aAWS KMS. Questa concessione consente ad Amazon Bedrock di accedere e di utilizzare la chiave gestita dal cliente. Le sovvenzioni AWS KMS vengono utilizzate per consentire ad Amazon Bedrock di accedere a una chiave KMS nell'account di un cliente.
Amazon Bedrock richiede che la concessione utilizzi la chiave gestita dal cliente per le seguenti operazioni interne:
+ Invia [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)richieste AWS KMS a per verificare che l'ID della chiave KMS simmetrica gestita dal cliente che hai inserito durante la creazione del lavoro sia valido.
+ Invia [GenerateDataKey](https://docs.aws.amazon.com//kms/latest/APIReference/API_GenerateDataKey.html)e [AWS KMSdecrittografa](https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html) le richieste per generare chiavi dati crittografate dalla chiave gestita dal cliente e decrittografa le chiavi dati crittografate in modo che possano essere utilizzate per crittografare gli artefatti del modello.
+ Invia [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)richieste per AWS KMS creare concessioni secondarie circoscritte con un sottoinsieme delle operazioni precedenti (`DescribeKey`,,`Decrypt`), `GenerateDataKey` per l'esecuzione asincrona dell'importazione del modello e per l'inferenza su richiesta.
+ Amazon Bedrock specifica un ente pensionante durante la creazione delle sovvenzioni, in modo che il servizio possa inviare una richiesta. [RetireGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_RetireGrant.html)
Hai pieno accesso alla tua chiave gestita dai clienti. AWS KMS Per revocare l’accesso alla concessione, segui la procedura descritta in [Ritirare e revocare le concessioni](https://docs.aws.amazon.com//kms/latest/developerguide/grant-manage.html#grant-delete) nella *Guida per gli sviluppatori di AWS Key Management Service* oppure rimuovi l’accesso del servizio alla chiave gestita dal cliente in qualsiasi momento modificando la policy della chiave. In tal caso, Amazon Bedrock non sarà in grado di accedere al modello importato crittografato dalla chiave.
### Ciclo di vita delle concessioni primarie e secondarie per modelli importati
+ Le **concessioni primarie** hanno una lunga durata e rimangono attive fino a quando i modelli personalizzati associati sono ancora in uso. Quando un modello importato personalizzato viene eliminato, la concessione primaria corrispondente viene automaticamente ritirata.
+ Le **concessioni secondarie** sono di breve durata. Vengono automaticamente ritirate non appena viene completata l’operazione che Amazon Bedrock esegue per conto dei clienti. Ad esempio, una volta terminato il processo di importazione di un modello personalizzato, la concessione secondaria che ha consentito ad Amazon Bedrock di crittografare il modello importato personalizzato viene immediatamente ritirata.
# Utilizzo della chiave gestita dal cliente (CMK)
Se hai intenzione di utilizzare la chiave gestita dal cliente per crittografare il modello personalizzato importato, completa i seguenti passaggi:
1. Crea una chiave gestita dal cliente con AWS Key Management Service.
1. Allega una [policy basata sulle risorse](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html) con le autorizzazioni per i ruoli specificati, in modo da consentire la creazione e l’utilizzo di modelli personalizzati importati.
**Crea una chiave gestita dal cliente**
Prima, assicurati di disporre delle autorizzazioni `CreateKey`. Quindi segui i passaggi di [creazione delle chiavi](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) per creare una chiave gestita dal cliente nella AWS KMS console o nel funzionamento dell'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API. Assicurati di creare una chiave di crittografia simmetrica.
La creazione della chiave restituisce un valore `Arn` per la chiave, che è possibile utilizzare come `importedModelKmsKeyId ` durante l’importazione di un modello personalizzato con importazione di modelli personalizzati.
**Creare una policy della chiave e collegarla alla chiave gestita dal cliente**
Le policy della chiave sono [policy basate sulle risorse](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html) che alleghi alla chiave gestita dal cliente per controllarne l’accesso. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Puoi modificare la policy della chiave in qualsiasi momento, ma potrebbe verificarsi un breve ritardo prima che la modifica sia disponibile in AWS KMS. Per ulteriori informazioni, consulta [Gestione dell’accesso alle chiavi gestite dal cliente](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#managing-access) nella *Guida per gli sviluppatori di AWS Key Management Service*.
**Crittografare un modello personalizzato importato**
Per utilizzare la chiave gestita dal cliente per crittografare un modello personalizzato importato, è necessario includere le seguenti AWS KMS operazioni nella politica delle chiavi:
+ [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) [— crea una concessione per una chiave gestita dal cliente consentendo al servizio Amazon Bedrock l'accesso principale alla chiave KMS specificata tramite operazioni di concessione.](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) Per ulteriori informazioni sulle concessioni, consulta [Concessioni in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) nella *Guida per lo sviluppatore di AWS Key Management Service*.
**Nota**
Amazon Bedrock stabilisce inoltre un principale in fase di ritiro e ritira automaticamente la concessione quando non è più necessaria.
+ [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — fornisce i dettagli chiave gestiti dal cliente per consentire ad Amazon Bedrock di convalidare la chiave.
+ [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Fornisce i dettagli chiave gestiti dal cliente per consentire ad Amazon Bedrock di convalidare l'accesso degli utenti. Amazon Bedrock memorizza il testo criptato generato insieme al modello personalizzato importato, in modo che possa essere utilizzato come controllo di convalida aggiuntivo per gli utenti del modello personalizzato importato.
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) – decripta il testo criptato memorizzato per verificare che il ruolo possa accedere correttamente alla chiave che crittografa il modello personalizzato importato.
Di seguito è riportato un esempio di policy che puoi allegare a una chiave per un ruolo che utilizzerai per crittografare i modelli importati:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy for a key to encrypt an imported custom model",
"Statement": [
{
"Sid": "Permissions for model import API invocation role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
}
]
}
```
------
**Decrittografare un modello personalizzato importato**
Se stai importando un modello personalizzato che è già stato crittografato da un’altra chiave gestita dal cliente, devi aggiungere le autorizzazioni `kms:Decrypt` per lo stesso ruolo, come nella seguente policy:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy for a key that encrypted a custom imported model",
"Statement": [
{
"Sid": "Permissions for model import API invocation role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
# Monitoraggio delle chiavi di crittografia per il servizio Amazon Bedrock
Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue risorse Amazon Bedrock, puoi utilizzare [AWS CloudTrail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) per tenere traccia delle richieste a cui Amazon Bedrock invia. AWS KMS
Di seguito è riportato un esempio di AWS CloudTrail evento per [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)monitorare AWS KMS le operazioni chiamate da Amazon Bedrock per creare una sovvenzione primaria:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForModelImport/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForModelImport",
"accountId": "111122223333",
"userName": "RoleForModelImport"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
Per collegare la seguente policy basata su risorse alla chiave KMS, segui i passaggi descritti in [Creazione di una policy](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-overview.html). La policy include due dichiarazioni.
1. Autorizzazioni per un ruolo per crittografare gli artefatti di personalizzazione del modello. Aggiunge al campo i ruoli ARNs di Model Builder personalizzati importati. `Principal`
1. Autorizzazioni per un ruolo per utilizzare il modello personalizzato importato in inferenza. ARNs Aggiunta al `Principal` campo dei ruoli utente del modello personalizzato importati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS Key Policy",
"Statement": [
{
"Sid": "Permissions for imported model builders",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Sid": "Permissions for imported model users",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/role"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
]
}
```
------