Crittografia dei dati per i processi di valutazione del modello - Amazon Bedrock
AWS KMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati per i processi di valutazione del modello

Durante il processo di valutazione del modello, Amazon Bedrock crea una copia dei tuoi dati che esiste temporaneamente. Amazon Bedrock elimina i dati al termine del processo. Utilizza una AWS KMS chiave per crittografarli. Utilizza una AWS KMS chiave specificata dall'utente o una chiave di proprietà di Amazon Bedrock per crittografare i dati.

Amazon Bedrock utilizza quanto segue IAM e le AWS Key Management Service autorizzazioni per utilizzare la tua AWS KMS chiave per decrittografare i dati e crittografare la copia temporanea che crea.

AWS Key Management Service supporto nei lavori di valutazione dei modelli

Quando crei un processo di valutazione del modello utilizzando il o uno supportato AWS Management Console AWS CLI, AWS SDK puoi scegliere di utilizzare una chiave di proprietà di Amazon Bedrock o la tua KMS chiave gestita dal cliente. Se non viene specificata alcuna chiave gestita dal cliente, per impostazione predefinita viene utilizzata una chiave di proprietà di Amazon Bedrock.

Per utilizzare una chiave gestita dal cliente, devi aggiungere le IAM azioni e le risorse necessarie alla politica del ruolo di IAM servizio. È inoltre necessario aggiungere gli elementi AWS KMS chiave della politica richiesti.

È inoltre necessario creare una politica in grado di interagire con la chiave gestita dal cliente. Ciò è specificato in una politica AWS KMS chiave separata.

Amazon Bedrock utilizza quanto segue IAM e le AWS KMS autorizzazioni per utilizzare la tua AWS KMS chiave per decrittografare i file e accedervi. Salva tali file in una posizione interna di Amazon S3 gestita da Amazon Bedrock e utilizza le seguenti autorizzazioni per crittografarli.

IAMrequisiti politici

La IAM policy associata al IAM ruolo che stai utilizzando per effettuare richieste ad Amazon Bedrock deve contenere i seguenti elementi. Per ulteriori informazioni sulla gestione delle AWS KMS chiavi, consulta Usare IAM le politiche con AWS Key Management Service.

I processi di valutazione dei modelli in Amazon Bedrock utilizzano chiavi AWS proprietarie. Queste KMS chiavi sono di proprietà di Amazon Bedrock. Per ulteriori informazioni sulle chiavi di AWS proprietà, consulta le chiavi AWS possedute nella Guida per gli AWS Key Management Service sviluppatori.

Elementi IAM della policy richiesti

  • kms:Decrypt— Per i file che hai crittografato con la tua AWS Key Management Service chiave, fornisce ad Amazon Bedrock le autorizzazioni per accedere e decrittografare tali file.

  • kms:GenerateDataKey— Controlla l'autorizzazione a utilizzare la AWS Key Management Service chiave per generare chiavi di dati. Amazon Bedrock lo utilizza GenerateDataKey per crittografare i dati temporanei archiviati per il processo di valutazione.

  • kms:DescribeKey— Fornisce informazioni dettagliate su una KMS chiave.

  • kms:ViaService— La chiave condizionale limita l'uso di una KMS chiave alle richieste provenienti da AWS servizi specifici. Devi specificare Amazon S3 come servizio perché Amazon Bedrock archivia una copia temporanea dei tuoi dati in una posizione Amazon S3 di sua proprietà.

Di seguito è riportato un esempio di IAM policy che contiene solo AWS KMS IAM le azioni e le risorse necessarie. 


{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "CustomKMSKeyProvidedToBedrock",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDataKey"
        ],
        "Resource": [
          "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": "s3.{{region}}.amazonaws.com"
            }
        }
    },
    {
        "Sid": "CustomKMSDescribeKeyProvidedToBedrock",
        "Effect": "Allow",
        "Action": [
            "kms:DescribeKey"
        ],
        "Resource": [
          "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]"
        ]
    }
]
}

AWS KMS requisiti politici chiave

Ogni AWS KMS chiave deve avere esattamente una politica chiave. Le dichiarazioni contenute nella politica chiave determinano chi ha il permesso di usare la AWS KMS chiave e come può usarla. È inoltre possibile utilizzare IAM politiche e concessioni per controllare l'accesso alla AWS KMS chiave, ma ogni AWS KMS chiave deve avere una politica chiave.

Elementi AWS KMS chiave delle policy obbligatori in Amazon Bedrock

  • kms:Decrypt— Per i file che hai crittografato con la tua AWS Key Management Service chiave, fornisce ad Amazon Bedrock le autorizzazioni per accedere e decrittografare tali file.

  • kms:GenerateDataKey— Controlla l'autorizzazione a utilizzare la AWS Key Management Service chiave per generare chiavi di dati. Amazon Bedrock lo utilizza GenerateDataKey per crittografare i dati temporanei archiviati per il processo di valutazione.

  • kms:DescribeKey— Fornisce informazioni dettagliate su una KMS chiave.

È necessario aggiungere la seguente dichiarazione alla politica AWS KMS chiave esistente. Fornisce ad Amazon Bedrock le autorizzazioni per archiviare temporaneamente i tuoi dati in un bucket di servizi Amazon Bedrock utilizzando AWS KMS quello che hai specificato.

{
	"Effect": "Allow",
	"Principal": {
	    "Service": "bedrock.amazonaws.com"
	},
	"Action": [
	    "kms:GenerateDataKey",
	    "kms:Decrypt",
	    "kms:DescribeKey"
	],
	"Resource": "*",
	"Condition": {
	    "StringLike": {
	        "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*",
	        "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*"
	    }
	}
}

Di seguito è riportato un esempio di politica completa. AWS KMS 

{
"Version": "2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
    {
        "Sid": "EnableIAMUserPermissions",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::{{CustomerAccountId}}:root"
        },
        "Action": "kms:*",
        "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Principal": {
            "Service": "bedrock.amazonaws.com"
        },
        "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt",
            "kms:DescribeKey"
        ],
        "Resource": "*",
        "Condition": {
            "StringLike": {
                "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*",
                "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*"
            }
        }
    }
]
}