기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Bedrock Studio 암호화
Amazon Bedrock Studio는 Amazon Bedrock 평가판 릴리스이며 변경될 수 있습니다. |
저장 데이터를 기본적으로 암호화하면 민감한 데이터 보호와 관련된 운영 오버헤드와 복잡성을 줄이는 데 도움이 됩니다. 동시에 엄격한 암호화 규정 준수 및 규제 요구 사항을 충족하는 안전한 애플리케이션을 구축할 수 있습니다.
Amazon Bedrock Studio는 기본 AWS 소유 키를 사용하여 저장 데이터를 자동으로 암호화합니다. 사용자는 AWS 소유 키를 보거나 관리하거나 사용을 감사할 수 없습니다. 자세한 내용은 AWS 소유 키를 참조하세요.
이 암호화 계층을 비활성화하거나 다른 암호화 유형을 선택할 수는 없지만 Amazon Bedrock Studio 도메인을 만들 때 고객 관리형 키를 선택하여 기존 AWS 소유 암호화 키에 두 번째 암호화 계층을 추가할 수 있습니다. Amazon Bedrock Studio는 이제 기존 AWS 소유 암호화에 두 번째 암호화 계층을 추가하기 위해 생성하고 소유하고 관리하는 대칭 고객 관리형 키를 사용할 수 있도록 지원합니다. 이 암호화 계층을 완전히 제어할 수 있으므로 다음과 같은 작업을 수행할 수 있습니다.
-
키 정책 수립 및 관리
-
IAM 정책 및 권한 부여 수립 및 관리
-
키 정책 활성화 및 비활성화
-
키 암호화 자료 교체
-
태그 추가
-
키 별칭 생성
-
키 삭제 예약
자세한 내용은 고객 관리형 키를 참조하세요.
참고
Amazon Bedrock Studio는 AWS 소유 키를 사용해 저장된 데이터를 자동으로 암호화하여 고객 데이터를 무료로 보호합니다.
AWS KMS 요금은 고객 관리형 키를 사용할 때 부과됩니다. 요금에 대한 자세한 내용은 AWS Key Management Service 요금
고객 관리형 키 생성
AWS 관리 콘솔 또는 AWS KMS API를 사용하여 대칭 고객 관리형 키를 생성할 수 있습니다.
대칭 고객 관리형 키를 생성하려면 AWS Key Management Service 개발자 안내서에서 대칭 고객 관리형 키 생성 단계를 따르세요.
키 정책 - 고객 관리형 키에 대한 액세스를 제어합니다. 모든 고객 관리형 키에는 키를 사용할 수 있는 사람과 키를 사용하는 방법을 결정하는 문장이 포함된 정확히 하나의 키 정책이 있어야 합니다. 고객 관리형 키를 생성할 때 키 정책을 지정할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 고객 관리형 키 액세스 관리를 참조하세요.
참고
고객 관리형 키를 사용하는 경우 AWS KMS 키에 EnableBedrock 키와 true값을 태그로 지정해야 합니다. 자세한 내용은 키 태그 지정을 참조하세요.
Amazon Bedrock Studio 리소스와 함께 고객 관리형 키를 사용하려면 키 정책에서 다음 API 작업을 허용해야 합니다.
-
kms:CreateGrant – 고객 관리형 키에 권한 부여를 추가합니다. Amazon Bedrock Studio에 필요한 권한 부여 작업에 대한 액세스를 허용하는 지정된 KMS 키에 대한 제어 액세스 권한을 부여합니다. 권한 부여 사용에 대한 자세한 내용은 AWS Key Management Service 개발자 안내를 참조하세요.
-
kms:DescribeKey - Amazon Bedrock Studio가 키를 검증할 수 있도록 고객 관리형 키 세부 정보를 제공합니다.
-
kms:GenerateDataKey - KMS 외부에서 사용할 고유한 대칭 데이터 키를 반환합니다.
-
kms:Decrypt – KMS 키로 암호화된 사이퍼텍스트를 해독합니다.
다음은 Amazon Bedrock Studio에 추가할 수 있는 정책 문 예제입니다. 정책을 사용하려면 다음을 수행합니다.
-
\{FIXME:REGION\}의 인스턴스를 사용 중인 AWS 리전으로 바꾸고\{FIXME:ACCOUNT_ID\}를 AWS 계정 ID로 바꿉니다. JSON의 잘못된\문자는 업데이트해야 할 위치를 나타냅니다. 예를 들어,"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*"는"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:use-east-1:111122223333:agent/*"가 됩니다. -
키를 사용하는 워크스페이스에 사용할 프로비저닝 역할의 이름으로
\{provisioning role name\}을 변경합니다. 키에 대한 관리 권한이 있는 IAM 역할의 이름으로
\{Admin Role Name\}을 변경합니다.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "Enable IAM User Permissions Based on Tags", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyPair", "kms:GenerateDataKeyPairWithoutPlaintext", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringEquals": { "aws:PrincipalTag/AmazonBedrockManaged": "true", "kms:CallerAccount" : "\{FIXME:ACCOUNT_ID\}" }, "StringLike": { "aws:PrincipalTag/AmazonDataZoneEnvironment": "*" } } }, { "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringLike": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*" } } }, { "Sid": "Allows AOSS list keys", "Effect": "Allow", "Principal": { "Service": "aoss.amazonaws.com" }, "Action": "kms:ListKeys", "Resource": "*" }, { "Sid": "Allows AOSS to create grants", "Effect": "Allow", "Principal": { "Service": "aoss.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringEquals": { "kms:ViaService": "aoss.\{FIXME:REGION\}.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "Enable Decrypt, GenerateDataKey for DZ execution role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:root" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringLike": { "kms:EncryptionContext:aws:datazone:domainId": "*" } } }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RetireGrant" ], "Resource": "*", "Condition": { "StringLike": { "kms:CallerAccount": "\{FIXME:ACCOUNT_ID\}" }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "AllowPermissionForEncryptedGuardrailsOnProvisioningRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{provisioning role name\}" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey", "kms:CreateGrant", "kms:Encrypt" ], "Resource": "*" }, { "Sid": "Allow use of CMK to encrypt logs in their account", "Effect": "Allow", "Principal": { "Service": "logs.\{FIXME:REGION\}.amazonaws.com" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKey", "kms:GenerateDataKeyPair", "kms:GenerateDataKeyPairWithoutPlaintext", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey" ], "Resource": "*", "Condition": { "ArnLike": { "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:log-group:*" } } }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{Admin Role Name\}" }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" } ] }
정책의 권한 지정에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서를 참조하세요.
키 액세스 문제 해결에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서를 참조하세요.
