기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 가져온 사용자 지정 모델의 암호화
Amazon Bedrock은 동일한 암호화 접근 방식을 사용하는 두 가지 방법을 통해 사용자 지정 모델 생성을 지원합니다. 사용자 지정 모델은 AWS다음을 통해 관리 및 저장됩니다.
+ **사용자 지정 모델 가져오기 작업** - 사용자 지정 오픈 소스 파운데이션 모델(예: Mistral AI 또는 Llama 모델)을 가져오는 데 사용됩니다.
+ **사용자 지정 모델 생성** - SageMaker AI에서 사용자 지정한 Amazon Nova 모델을 가져오는 데 사용됩니다.
사용자 지정 모델을 암호화할 수 있도록 Amazon Bedrock은 다음 옵션을 제공합니다.
+ **AWS소유 키** - 기본적으로 Amazon Bedrock은 가져온 사용자 지정 모델을 AWS소유 키로 암호화합니다. AWS소유 키를 보거나 관리하거나 사용하거나 사용을 감사할 수 없습니다. 하지만 데이터를 암호화하는 키를 보호하기 위해 어떤 작업을 수행하거나 어떤 프로그램을 변경할 필요가 없습니다. 자세한 내용은 *AWS Key Management Service 개발자 안내서*에서 [AWS 소유 키](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#aws-owned-cmk)를 참조하세요.
+ **고객 관리형 키(CMK)** - 고객 관리형 키(CMK)를 선택하여 기존 AWS소유 암호화 키에 두 번째 암호화 계층을 추가할 수 있습니다. 자체 고객 관리형 키를 만들고 관리할 수 있습니다.
이 암호화 계층을 완전히 제어할 수 있으므로 다음과 같은 작업을 수행할 수 있습니다.
+ 키 정책 수립 및 관리
+ IAM 정책 및 권한 부여 수립 및 관리
+ 키 정책 활성화 및 비활성화
+ 키 암호화 자료 교체
+ 태그 추가
+ 키 별칭 생성
+ 키 삭제 예약
자세한 내용은 *AWS Key Management Service 개발자 안내서*에서 [고객 관리형 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)를 참조하세요.
**참고**
가져오는 모든 사용자 지정 모델에 대해 Amazon Bedrock은 AWS소유 키를 사용하여 저장 시 암호화를 자동으로 활성화하여 고객 데이터를 무료로 보호합니다. 고객 관리형 키를 사용하는 경우 AWS KMS요금이 적용됩니다. 요금에 대한 자세한 내용은 [AWS Key Management Service 요금](https://docs.aws.amazon.com/)을 참조하세요.
## Amazon Bedrock이에서 권한 부여를 사용하는 방법AWS KMS
고객 관리형 키를 지정하여 가져온 모델을 암호화하는 경우, Amazon Bedrock은 [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html) [https://docs.aws.amazon.com/](https://docs.aws.amazon.com/) 요청을에 전송하여 사용자를 대신하여 가져온 모델과 연결된 **기본**AWS KMS 권한을 생성합니다AWS KMS. 이 권한 부여를 통해 Amazon Bedrock은 고객 관리형 키에 액세스하고 사용할 수 있습니다. 의 권한 부여AWS KMS는 Amazon Bedrock에 고객 계정의 KMS 키에 대한 액세스 권한을 부여하는 데 사용됩니다.
다음과 같은 내부 작업에서 고객 관리형 키를 사용하려면 Amazon Bedrock에 기본 권한을 부여해야 합니다.
+ [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 요청을에 전송AWS KMS하여 작업을 생성할 때 입력한 대칭 고객 관리형 KMS 키 ID가 유효한지 확인합니다.
+ [GenerateDataKey](https://docs.aws.amazon.com//kms/latest/APIReference/API_GenerateDataKey.html) 및 [Decrypt](https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html) 요청을 AWS KMS에 전송하여 고객 관리형 키로 암호화된 데이터 키를 생성하고 암호화된 데이터 키를 복호화하여 모델 아티팩트를 암호화하는 데 사용할 수 있도록 합니다.
+ 모델 가져오기의 비동기 실행 및 온디맨드 추론을 위해 위의 작업(`DescribeKey`, `GenerateDataKey`, `Decrypt`)의 하위 집합을 사용하여 범위가 축소된 보조 권한 부여를 생성AWS KMS하려면 [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html) 요청을에 보냅니다.
+ Amazon Bedrock은 권한 생성 중에 사용 중지 위탁자를 지정하므로 서비스가 [RetireGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_RetireGrant.html) 요청을 보낼 수 있습니다.
고객 관리형 AWS KMS키에 대한 전체 액세스 권한이 있습니다. *AWS Key Management Service 개발자 안내서*의 [권한 부여 사용 중지 및 취소](https://docs.aws.amazon.com//kms/latest/developerguide/grant-manage.html#grant-delete)에 안내된 단계에 따라 권한 부여에 대한 액세스를 취소하거나, 키 정책을 수정하여 언제든지 고객 관리형 키에 대한 서비스의 액세스 권한을 제거할 수 있습니다. 이렇게 하면 Amazon Bedrock이 키로 암호화된 가져온 모델에 액세스할 수 없습니다.
### 가져온 사용자 지정 모델에 대한 기본 및 보조 권한 부여의 수명 주기
+ **기본 권한 부여**는 수명이 길며 연결된 사용자 지정 모델을 계속 사용하는 한 활성 상태로 유지됩니다. 가져온 사용자 지정 모델을 삭제하면 해당 기본 권한 부여가 자동으로 사용 중지됩니다.
+ **보조 권한 부여**는 수명이 짧습니다. Amazon Bedrock이 고객을 대신하여 수행하는 작업이 완료되는 즉시 자동으로 사용 중지됩니다. 예를 들어, 사용자 지정 모델 가져오기 작업이 완료되면 Amazon Bedrock이 가져온 사용자 지정 모델을 암호화할 수 있도록 허용한 보조 권한 부여는 즉시 사용 중지됩니다.