Elementi politici chiave obbligatori per crittografare il processo di valutazione del modello utilizzando AWS KMS - Amazon Bedrock

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Elementi politici chiave obbligatori per crittografare il processo di valutazione del modello utilizzando AWS KMS

Ogni AWS KMS chiave deve avere esattamente una politica chiave. Le dichiarazioni contenute nella politica chiave determinano chi ha il permesso di usare la AWS KMS chiave e come può usarla. Puoi anche utilizzare le policy e le concessioni IAM per controllare l'accesso alla AWS KMS chiave, ma ogni AWS KMS chiave deve avere una policy chiave.

Elementi AWS KMS chiave delle policy obbligatori in Amazon Bedrock
  • kms:Decrypt— Per i file che hai crittografato con la tua AWS Key Management Service chiave, fornisce ad Amazon Bedrock le autorizzazioni per accedere e decrittografare tali file.

  • kms:GenerateDataKey— Controlla l'autorizzazione a utilizzare la AWS Key Management Service chiave per generare chiavi di dati. Amazon Bedrock lo utilizza GenerateDataKey per crittografare i dati temporanei archiviati per il processo di valutazione.

  • kms:DescribeKey— Fornisce informazioni dettagliate su una chiave KMS.

È necessario aggiungere la seguente dichiarazione alla politica AWS KMS chiave esistente. Fornisce ad Amazon Bedrock le autorizzazioni per archiviare temporaneamente i tuoi dati in un bucket di servizi Amazon Bedrock utilizzando AWS KMS quello che hai specificato.

{ "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*", "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*" } } }

Di seguito è riportato un esempio di politica completa. AWS KMS

{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "EnableIAMUserPermissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{CustomerAccountId}}:root" }, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*", "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*" } } } ] }

Configurazione delle autorizzazioni KMS per i ruoli che chiamano l'API CreateEvaluationJob

Assicurati di avere DescribeKey e decriptare le autorizzazioni per il tuo ruolo utilizzate per creare il lavoro di valutazione sulla chiave KMS che usi nel tuo lavoro di valutazione. GenerateDataKey

Esempio di politica chiave KMS

{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:role/APICallingRole" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kmsDescribeKey" ], "Resource": "*" } ] }

Esempio di policy IAM per l'API Role Calling CreateEvaluationJob

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CustomKMSKeyProvidedToBedrockEncryption", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:account-id:key/keyYouUse" ] } ] }