Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

カスタムモデルのインポートの暗号化

RSS
フォーカスモード
カスタムモデルのインポートの暗号化 - Amazon Bedrock
Amazon Bedrock が で許可を使用する方法 AWS KMS

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Bedrock は、カスタムモデルインポート機能を使用して、Amazon SageMaker AI などの他の環境で作成したモデルをインポートすることで、カスタムモデルの作成をサポートしています。カスタムインポートされたモデルは、 によって管理および保存されます AWS。詳細については、「モデルのインポート」を参照してください。

インポートされたカスタムモデルを暗号化するために、Amazon Bedrock には次のオプションが用意されています。

  • AWS 所有キー – デフォルトでは、Amazon Bedrock はカスタムインポートされたモデルを AWS 所有キーで暗号化します。 AWS 所有キーを表示、管理、使用したり、その使用を監査したりすることはできません。ただし、データを暗号化するキーを保護するために何らかの操作を行ったり、プログラムを変更したりする必要はありません。詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS 所有キー」を参照してください。

  • カスタマーマネージドキー (CMK) – カスタマーマネージドキー (CMK) を選択することで、既存の AWS 所有の暗号化キーに 2 番目の暗号化レイヤーを追加できます。カスタマーマネージドキーを作成、所有、管理できます。

    この暗号化レイヤーはユーザーが完全に制御できるため、以下のタスクを実行できます:

    • キーポリシーの確立と維持

    • IAM ポリシーとグラントの確立と維持

    • キーポリシーの有効化と無効化

    • キー暗号化マテリアルのローテーション

    • タグを追加する

    • キーエイリアスの作成

    • キー削除のスケジュール

    詳細については、AWS Key Management Service デベロッパーガイドの「Customer managed keys」を参照してください。

注記

インポートするすべてのカスタムモデルについて、Amazon Bedrock は AWS 所有キーを使用して保管時の暗号化を自動的に有効にし、顧客データを無償で保護します。カスタマーマネージドキーを使用する場合、 AWS KMS 料金が適用されます。料金の詳細については、「AWS Key Management Service 料金表」を参照してください。

Amazon Bedrock が で許可を使用する方法 AWS KMS

カスタマーマネージドキーを指定して、インポートされたモデルを暗号化する場合。Amazon Bedrock は、CreateGrant リクエストを送信することで、インポートされたモデルに関連付けられたプライマリ AWS KMS グラントをユーザーに代わって作成します AWS KMS。 CreateGrant このグラントにより、Amazon Bedrock はカスタマーマネージドキーにアクセスして使用できます。の許可 AWS KMS は、Amazon Bedrock にお客様のアカウントの KMS キーへのアクセスを許可するために使用されます。

このプライマリグラントは、Amazon Bedrock が、以下の内部オペレーションでカスタマーマネージドキーを使用するために必要です。

  • DescribeKey リクエストを に送信 AWS KMS して、ジョブの作成時に入力した対称カスタマーマネージド KMS キー ID が有効であることを確認します。

  • GenerateDataKey リクエストと Decrypt リクエストを AWS KMS に送信して、カスタマーマネージドキーによって暗号化されるデータキーを生成し、暗号化されたデータキーを復号してモデルアーティファクトの暗号化に使用する。

  • CreateGrant リクエストを に送信 AWS KMS して、モデルインポートの非同期実行とオンデマンド推論のために、上記のオペレーション (DescribeKeyGenerateDataKeyDecrypt) のサブセットを使用してスコープダウンされたセカンダリ許可を作成します。

  • Amazon Bedrock は、サービスにより RetireGrant リクエストが送信されるように、グラントの作成中に廃止するプリンシパルを指定する。

カスタマーマネージド AWS KMS キーにフルアクセスできます。グラントへのアクセスを取り消すには、AWS デベロッパーガイドの「Retiring and revoking grants」の手順に従います。または、キーポリシーを変更すると、いつでもカスタマーマネージドキーへのサービスのアクセスを削除できます。これを行うと、Amazon Bedrock はキーで暗号化されたインポート済みモデルにアクセスできなくなります。

インポートされたカスタムモデルのプライマリグラントとセカンダリグラントのライフサイクル

  • プライマリグラントの有効期間は長く、関連するカスタムモデルがまだ使用されている限り、アクティブのままです。インポートされたカスタムモデルが削除されると、対応するプライマリグラントは自動的に廃止されます。

  • セカンダリグラントは、有効期間が短く、Amazon Bedrock が顧客に代わって実行するオペレーションが完了するとすぐに自動的に廃止されます。例えば、カスタムモデルのインポートジョブが完了すると、Amazon Bedrock がインポートされたカスタムモデルを暗号化することを許可したセカンダリグラントはすぐに廃止されます。

このページの内容

Related resources

Amazon Bedrock API リファレンス
AWS CLI の コマンド Amazon Bedrock
SDK とツール 

Related resources

Amazon Bedrock API リファレンス
AWS CLI の コマンド Amazon Bedrock
SDK とツール 
プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.