翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# インポートされたカスタムモデルの暗号化
Amazon Bedrock では、同じ暗号化アプローチを使用する 2 つの方法によるカスタムモデルの作成がサポートされています。カスタムモデルは、以下によって管理および保存されますAWS。
+ **カスタムモデルのインポートジョブ** — カスタマイズされたオープンソースの基盤モデル (Mistral AI モデルや Llama モデルなど) をインポートする場合。
+ **カスタムモデルの作成** — SageMaker AI でカスタマイズした Amazon Nova モデルをインポートする場合。
カスタムモデルを暗号化するために、Amazon Bedrock には次のオプションが用意されています。
+ **AWS所有キー** – デフォルトでは、Amazon Bedrock はインポートされたカスタムモデルを AWS所有キーで暗号化します。AWS所有キーを表示、管理、使用したり、その使用を監査したりすることはできません。ただし、データを暗号化するキーを保護するために何らかの操作を行ったり、プログラムを変更したりする必要はありません。詳細については、「AWS Key Management Service デベロッパーガイド」の「[AWS 所有キー](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#aws-owned-cmk)」を参照してください。
+ **カスタマーマネージドキー (CMK)** – カスタマーマネージドキー (CMK) を選択することで、既存のAWS所有の暗号化キーに 2 番目の暗号化レイヤーを追加できます。カスタマーマネージドキーを作成、所有、管理できます。
この暗号化レイヤーはユーザーが完全に制御できるため、以下のタスクを実行できます:
+ キーポリシーの確立と維持
+ IAM ポリシーとグラントの確立と維持
+ キーポリシーの有効化と無効化
+ キー暗号化マテリアルのローテーション
+ タグの追加
+ キーエイリアスの作成
+ キー削除のスケジュール
詳細については、*AWS Key Management Service デベロッパーガイド*の「[Customer managed keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)」を参照してください。
**注記**
インポートするすべてのカスタムモデルについて、Amazon Bedrock はAWS所有キーを使用して保管時の暗号化を自動的に有効にし、顧客データを無償で保護します。カスタマーマネージドキーを使用する場合、AWS KMS料金が適用されます。料金の詳細については、「[AWS Key Management Service 料金表](https://docs.aws.amazon.com/)」を参照してください。
## Amazon Bedrock が で許可を使用する方法AWS KMS
カスタマーマネージドキーを指定して、インポートされたモデルを暗号化する場合。Amazon Bedrock は、[CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html) [リクエストを送信することで、インポートされたモデル](https://docs.aws.amazon.com/)に関連付けられた**プライマリ**AWS KMSグラントをユーザーに代わって作成しますAWS KMS。このグラントにより、Amazon Bedrock はカスタマーマネージドキーにアクセスして使用できます。の許可AWS KMSは、Amazon Bedrock に顧客のアカウントの KMS キーへのアクセスを許可するために使用されます。
このプライマリグラントは、Amazon Bedrock が、以下の内部オペレーションでカスタマーマネージドキーを使用するために必要です。
+ [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) リクエストを に送信AWS KMSして、ジョブの作成時に入力した対称カスタマーマネージド KMS キー ID が有効であることを確認します。
+ [GenerateDataKey](https://docs.aws.amazon.com//kms/latest/APIReference/API_GenerateDataKey.html) リクエストと [Decrypt](https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html) リクエストを AWS KMS に送信して、カスタマーマネージドキーによって暗号化されるデータキーを生成し、暗号化されたデータキーを復号してモデルアーティファクトの暗号化に使用する。
+ [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html) リクエストを に送信AWS KMSして、モデルインポートの非同期実行とオンデマンド推論のために、上記のオペレーションのサブセット (`DescribeKey`、`GenerateDataKey`、`Decrypt`) を使用してスコープダウンされたセカンダリ許可を作成します。
+ Amazon Bedrock は、サービスにより [RetireGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_RetireGrant.html) リクエストが送信されるように、グラントの作成中に廃止するプリンシパルを指定する。
カスタマーマネージドAWS KMSキーへのフルアクセスがあります。許可へのアクセスを取り消すには、「*AWS デベロッパーガイド*」の「[付与の使用停止と取り消し](https://docs.aws.amazon.com//kms/latest/developerguide/grant-manage.html#grant-delete)」の手順に従います。または、キーポリシーを変更すると、いつでもカスタマーマネージドキーへのサービスのアクセスを削除できます。これを行うと、Amazon Bedrock はキーで暗号化されたインポート済みモデルにアクセスできなくなります。
### インポートされたカスタムモデルのプライマリグラントとセカンダリグラントのライフサイクル
+ **プライマリグラント**の有効期間は長く、関連するカスタムモデルがまだ使用されている限り、アクティブのままです。インポートされたカスタムモデルが削除されると、対応するプライマリグラントは自動的に廃止されます。
+ **セカンダリグラント**は、有効期間が短く、Amazon Bedrock が顧客に代わって実行するオペレーションが完了するとすぐに自動的に廃止されます。例えば、カスタムモデルのインポートジョブが完了すると、Amazon Bedrock がインポートされたカスタムモデルを暗号化することを許可したセカンダリグラントはすぐに廃止されます。