翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Bedrock Studio の暗号化
Amazon Bedrock Studio は、Amazon Bedrock のプレビューリリースに含まれているため、変更される可能性があります。 |
保管中のデータをデフォルトで暗号化することで、機密データの保護におけるオーバーヘッドと複雑な作業を減らすのに役立ちます。同時に、セキュリティを重視したアプリケーションを構築して、暗号化のコンプライアンスと規制の厳格な要件を満たすことができます。
Amazon Bedrock Studio は、デフォルトの AWS 所有のキーを使用して、保管中のデータを自動的に暗号化します。AWS 所有のキーの使用を表示、管理、監査することはできません。詳細については、「AWS owned keys」を参照してください。
この暗号化レイヤーを無効にしたり、別の暗号化タイプを選択したりすることはできませんが、Amazon Bedrock Studio ドメインを作成する際にカスタマーマネージドキーを選択して、既存の AWS 所有の暗号化キーに 2 番目の暗号化レイヤーを追加できます。Amazon Bedrock Studio では、既存の AWS 所有の暗号化に 2 番目の暗号化レイヤーを追加するために作成、所有、管理できる対称カスタマーマネージドキーの使用に対応しています。この暗号化レイヤーはユーザーが完全に制御できるため、以下のタスクを実行できます:
-
キーポリシーの確立と維持
-
IAM ポリシーとグラントの確立と維持
-
キーポリシーの有効化と無効化
-
キー暗号化マテリアルのローテーション
-
タグを追加する
-
キーエイリアスの作成
-
キー削除のスケジュール
詳細については、「カスタマーマネージドキー」を参照してください。
注記
Amazon Bedrock Studio では、AWS 所有のキーを使用した保管中の暗号化が自動的に有効になり、顧客データを無料で保護します。
カスタマーマネージドキーを使用する場合、AWS KMS 料金が適用されます。料金の詳細については、「AWS Key Management Service の料金
カスタマーマネージドキーを作成する
AWS マネジメントコンソールまたは AWS KMS API を使用して、対称カスタマーマネージドキーを作成できます。
対称カスタマーマネージドキーを作成するには、AWS Key Management Service デベロッパーガイドの「対称カスタマーマネージドキーの作成」の手順に従います。
キーポリシー - キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。カスタマーマネージドキーを作成する際に、キーポリシーを指定することができます。詳細については、「AWS Key Management Service デベロッパーガイド」の「カスタマーマネージドキーへのアクセスを管理する」を参照してください。
注記
カスタマーマネージドキーを使用する場合、AWS KMS キーに キー EnableBedrock と true の値をタグ付けしてください。詳細については、キーのタグ付けに関する説明を参照してください。
Amazon Bedrock Studio リソースでカスタマーマネージドキーを使用するには、キーポリシーで次の API オペレーションを許可する必要があります。
-
kms:CreateGrant – カスタマーマネージドキーにグラントを追加します。グラントは、指定された KMS キーへのアクセスを制御します。これにより、Amazon Bedrock Studio が要求するグラントオペレーションへのアクセスが許可されます。詳細については、「AWS Key Management Service デベロッパーガイド」の「許可の使用」を参照してください。
-
kms:DescribeKey – カスタマーマネージドキーの詳細を提供して、Amazon Bedrock Studio にキーの検証を許可します。
-
kms:GenerateDataKey - AWS KMS の外部で使用する一意の対称データキーを返します。
-
kms:Decrypt – KMS キーによって暗号化された暗号文を復号します。
Amazon Bedrock Studio に追加できるポリシーステートメントの例を以下に示します。ポリシーを使用する場合は、以下の作業を行います。
-
\{FIXME:REGION\}のインスタンスを、使用している AWS リージョンに置き換え、\{FIXME:ACCOUNT_ID\}を AWS アカウント ID に置き換えます。JSON の無効な\文字は、更新する必要がある場所を示します。例えば、"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*"は"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:use-east-1:111122223333:agent/*"になります。 -
\{provisioning role name\}を、キーを使用するワークスペースに使用するプロビジョニングロールの名前に変更します。 \{Admin Role Name\}を、キーの管理権限を持つ IAM ロールの名前に変更します。
{ "Version": "2012-10-17", "Statement": [{ "Sid": "Enable IAM User Permissions Based on Tags", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyPair", "kms:GenerateDataKeyPairWithoutPlaintext", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringEquals": { "aws:PrincipalTag/AmazonBedrockManaged": "true", "kms:CallerAccount" : "\{FIXME:ACCOUNT_ID\}" }, "StringLike": { "aws:PrincipalTag/AmazonDataZoneEnvironment": "*" } } }, { "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringLike": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*" } } }, { "Sid": "Allows AOSS list keys", "Effect": "Allow", "Principal": { "Service": "aoss.amazonaws.com" }, "Action": "kms:ListKeys", "Resource": "*" }, { "Sid": "Allows AOSS to create grants", "Effect": "Allow", "Principal": { "Service": "aoss.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringEquals": { "kms:ViaService": "aoss.\{FIXME:REGION\}.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "Enable Decrypt, GenerateDataKey for DZ execution role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:root" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringLike": { "kms:EncryptionContext:aws:datazone:domainId": "*" } } }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RetireGrant" ], "Resource": "*", "Condition": { "StringLike": { "kms:CallerAccount": "\{FIXME:ACCOUNT_ID\}" }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "AllowPermissionForEncryptedGuardrailsOnProvisioningRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{provisioning role name\}" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey", "kms:CreateGrant", "kms:Encrypt" ], "Resource": "*" }, { "Sid": "Allow use of CMK to encrypt logs in their account", "Effect": "Allow", "Principal": { "Service": "logs.\{FIXME:REGION\}.amazonaws.com" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKey", "kms:GenerateDataKeyPair", "kms:GenerateDataKeyPairWithoutPlaintext", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey" ], "Resource": "*", "Condition": { "ArnLike": { "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:log-group:*" } } }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{Admin Role Name\}" }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" } ] }
ポリシーでのアクセス許可の指定について詳しくは、AWS Key Management Service デベロッパーガイドを参照してください。
キーアクセスのトラブルシューティングについて詳しくは、AWS Key Management Service デベロッパーガイドを参照してください。
