翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
モデル評価ジョブのデータ暗号化
モデル評価ジョブ中、Amazon Bedrock は一時的に存在するデータのコピーを作成します。Amazon Bedrock は、ジョブの終了後にデータを削除します。 AWS KMS キーを使用して暗号化します。指定した AWS KMS キーまたは Amazon Bedrock 所有の キーを使用してデータを暗号化します。
Amazon Bedrock は、次の IAMおよび アクセス AWS Key Management Service 許可を使用して、 AWS KMS キーを使用してデータを復号し、作成する一時コピーを暗号化します。
AWS Key Management Service モデル評価ジョブでの のサポート
、、またはサポートされている AWS SDK を使用してモデル評価ジョブを作成する場合 AWS Management Console AWS CLI、Amazon Bedrock 所有のKMSキーまたは独自のカスタマーマネージドキーを使用できます。カスタマーマネージドキーが指定されていない場合、Amazon Bedrock が所有するキーがデフォルトで使用されます。
カスタマーマネージドキーを使用するには、必要なIAMアクションとリソースをIAMサービスロールのポリシーに追加する必要があります。また、必要な AWS KMS キーポリシー要素を追加する必要があります。
また、カスタマーマネージドキーとやり取りできるポリシーを作成する必要があります。これは別の AWS KMS キーポリシーで指定されます。
Amazon Bedrock は、次の IAMおよび アクセス AWS KMS 許可を使用して、 AWS KMS キーを使用してファイルを復号し、それらにアクセスします。これらのファイルは、Amazon Bedrock によって管理される内部 Amazon S3 の場所に保存され、次のアクセス許可を使用して暗号化されます。
IAM ポリシーの要件
Amazon Bedrock へのリクエストに使用するIAMロールに関連付けられたIAMポリシーには、次の要素が必要です。 AWS KMS キーの管理の詳細については、「 でのIAMポリシーの使用 AWS Key Management Service」を参照してください。
Amazon Bedrock のモデル評価ジョブは、 AWS 所有キーを使用します。これらのKMSキーは Amazon Bedrock が所有しています。 AWS 所有キーの詳細については、「 AWS Key Management Service デベロッパーガイド」の「 AWS 所有キー」を参照してください。
必要なIAMポリシー要素
-
kms:Decrypt
— AWS Key Management Service キーで暗号化したファイルの場合、 は Amazon Bedrock にそれらのファイルにアクセスして復号化するアクセス許可を付与します。 -
kms:GenerateDataKey
— AWS Key Management Service キーを使用してデータキーを生成するアクセス許可を制御します。Amazon Bedrock は、GenerateDataKey
を使用して、評価ジョブに保存する一時データを暗号化します。 -
kms:DescribeKey
— KMSキーに関する詳細情報を提供します。 -
kms:ViaService
— 条件キーは、 KMSキーの使用を、指定された AWS サービスからのリクエストに制限します。Amazon Bedrock は、所有する Amazon S3 の場所にデータの一時コピーを保存するため、Amazon S3 をサービスとして指定する必要があります。
以下は、必要な AWS KMS IAMアクションとリソースのみを含むIAMポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CustomKMSKeyProvidedToBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]" ], "Condition": { "StringEquals": { "kms:ViaService": "s3.{{region}}.amazonaws.com" } } }, { "Sid": "CustomKMSDescribeKeyProvidedToBedrock", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]" ] } ] }
AWS KMS キーポリシーの要件
すべての AWS KMS キーには、キーポリシーが 1 つだけ必要です。キーポリシーのステートメントは、 AWS KMS キーを使用するアクセス許可を持つユーザーとその使用方法を決定します。IAM ポリシーと許可を使用して AWS KMS キーへのアクセスを制御することもできますが、すべての AWS KMS キーにキーポリシーが必要です。
Amazon Bedrock で必要な AWS KMS キーポリシー要素
-
kms:Decrypt
— AWS Key Management Service キーで暗号化したファイルの場合、 は Amazon Bedrock にそれらのファイルにアクセスして復号化するアクセス許可を付与します。 -
kms:GenerateDataKey
— AWS Key Management Service キーを使用してデータキーを生成するアクセス許可を制御します。Amazon Bedrock は、GenerateDataKey
を使用して、評価ジョブに保存する一時データを暗号化します。 -
kms:DescribeKey
— KMSキーに関する詳細情報を提供します。
既存の AWS KMS キーポリシーに次のステートメントを追加する必要があります。これにより、指定した を使用して Amazon Bedrock サービスバケットにデータを一時的に保存するためのアクセス許可 AWS KMS が Amazon Bedrock に付与されます。
{ "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*", "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*" } } }
以下は、完全な AWS KMS ポリシーの例です。
{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "EnableIAMUserPermissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{CustomerAccountId}}:root" }, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*", "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*" } } } ] }