AWS Key Management Service supporto nei lavori di valutazione dei modelli - Amazon Bedrock
Requisiti delle politiche IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Key Management Service supporto nei lavori di valutazione dei modelli

Amazon Bedrock utilizza il seguente IAM e le AWS KMS autorizzazioni per utilizzare la tua AWS KMS chiave per decrittografare i file e accedervi. Salva tali file in una posizione interna di Amazon S3 gestita da Amazon Bedrock e utilizza le seguenti autorizzazioni per crittografarli.

Requisiti delle policy IAM

La policy IAM associata al ruolo IAM che stai utilizzando per effettuare richieste ad Amazon Bedrock deve avere i seguenti elementi. Per ulteriori informazioni sulla gestione delle AWS KMS chiavi, consulta Using IAM policies with AWS Key Management Service.

I processi di valutazione dei modelli in Amazon Bedrock utilizzano chiavi AWS proprietarie. Queste chiavi KMS sono di proprietà di Amazon Bedrock. Per ulteriori informazioni sulle chiavi di AWS proprietà, consulta le chiavi AWS possedute nella Guida per gli AWS Key Management Service sviluppatori.

Elementi della policy IAM richiesti

  • kms:Decrypt— Per i file che hai crittografato con la tua AWS Key Management Service chiave, fornisce ad Amazon Bedrock le autorizzazioni per accedere e decrittografare tali file.

  • kms:GenerateDataKey— Controlla l'autorizzazione a utilizzare la AWS Key Management Service chiave per generare chiavi di dati. Amazon Bedrock lo utilizza GenerateDataKey per crittografare i dati temporanei archiviati per il processo di valutazione.

  • kms:DescribeKey— Fornisce informazioni dettagliate su una chiave KMS.

  • kms:ViaService— La chiave condizionale limita l'uso di una chiave KMS alle richieste provenienti da servizi specifici AWS . Devi specificare Amazon S3 come servizio perché Amazon Bedrock archivia una copia temporanea dei tuoi dati in una posizione Amazon S3 di sua proprietà.

Di seguito è riportato un esempio di policy IAM che contiene solo le azioni e le risorse AWS KMS IAM richieste. 


{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "CustomKMSKeyProvidedToBedrock",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDataKey"
        ],
        "Resource": [
          "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]"
        ]
    },
    {
        "Sid": "CustomKMSDescribeKeyProvidedToBedrock",
        "Effect": "Allow",
        "Action": [
            "kms:DescribeKey"
        ],
        "Resource": [
          "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]"
        ]
    }
]
}

Configurazione delle autorizzazioni KMS per i ruoli che chiamano l'API CreateEvaluationJob

Assicurati di avere DescribeKey e decriptare le autorizzazioni per il tuo ruolo utilizzate per creare il lavoro di valutazione sulla chiave KMS che usi nel tuo lavoro di valutazione. GenerateDataKey

Esempio di politica chiave KMS


{
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/APICallingRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kmsDescribeKey"
            ],
            "Resource": "*"
       }
   ]
}

Esempio di policy IAM per l'API Role Calling CreateEvaluationJob 


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/keyYouUse"
            ]
        }
   ]
}