기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
모델 평가 작업용 데이터 암호화
모델 평가 작업 중에 Amazon Bedrock은 임시로 존재하는 데이터의 사본을 만듭니다. Amazon Bedrock은 작업이 끝난 후 데이터를 삭제합니다. AWS KMS 키를 사용하여 데이터를 암호화합니다. 사용자가 지정한 AWS KMS 키 또는 Amazon Bedrock 소유 키를 사용하여 데이터를 암호화합니다.
Amazon Bedrock은 다음 IAM 및 AWS Key Management Service 권한을 사용하여 AWS KMS 키를 사용하여 데이터를 해독하고 생성된 임시 사본을 암호화합니다.
AWS Key Management Service 모델 평가 작업 지원
AWS Management Console AWS CLI, 또는 지원을 사용하여 모델 평가 작업을 생성할 때 Amazon Bedrock 소유 KMS 키 또는 자체 고객 관리 키를 사용하도록 AWS SDK 선택할 수 있습니다. 고객 관리 키가 지정되지 않은 경우 기본적으로 Amazon Bedrock 소유 키가 사용됩니다.
고객 관리형 키를 사용하려면 IAM 서비스 역할 정책에 필요한 IAM 작업과 리소스를 추가해야 합니다. 또한 필수 AWS KMS 키 정책 요소를 추가해야 합니다.
또한 고객 관리 키와 상호 작용할 수 있는 정책을 만들어야 합니다. 이는 별도의 AWS KMS 키 정책에 지정되어 있습니다.
Amazon Bedrock은 다음 IAM 및 AWS KMS 권한을 사용하여 AWS KMS 키를 사용하여 파일을 복호화하고 파일에 액세스합니다. Amazon Bedrock에서 관리하는 내부 Amazon S3 위치에 이러한 파일을 저장하고 다음 권한을 사용하여 파일을 암호화합니다.
IAM정책 요구 사항
Amazon Bedrock에 요청하는 데 사용하는 IAM 역할과 관련된 IAM 정책에는 다음 요소가 포함되어야 합니다. AWS KMS 키 관리에 대한 자세한 내용은 IAM정책 사용을 참조하십시오. AWS Key Management Service
Amazon Bedrock의 모델 평가 작업은 AWS 소유한 키를 사용합니다. 이 KMS 키는 아마존 베드록이 소유합니다. AWS 소유 키에 대해 자세히 알아보려면 AWS Key Management Service 개발자AWS 안내서의 소유 키를 참조하십시오.
필수 IAM 정책 요소
-
kms:Decrypt— AWS Key Management Service 키로 암호화한 파일의 경우 Amazon Bedrock에 해당 파일에 액세스하고 암호를 해독할 수 있는 권한을 제공합니다. -
kms:GenerateDataKey— 키를 사용하여 데이터 AWS Key Management Service 키를 생성할 수 있는 권한을 제어합니다. Amazon Bedrock은GenerateDataKey평가 작업을 위해 저장하는 임시 데이터를 암호화하는 데 사용합니다. -
kms:DescribeKey— 키에 대한 세부 정보를 제공합니다. KMS -
kms:ViaService— 조건 키는 키 사용을 지정된 AWS 서비스의 요청으로 제한합니다. KMS Amazon Bedrock은 데이터의 임시 사본을 소유한 Amazon S3 위치에 저장하므로 Amazon S3를 서비스로 지정해야 합니다.
다음은 필수 AWS KMS IAM 작업과 리소스만 포함하는 예제 IAM 정책입니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CustomKMSKeyProvidedToBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]" ], "Condition": { "StringEquals": { "kms:ViaService": "s3.{{region}}.amazonaws.com" } } }, { "Sid": "CustomKMSDescribeKeyProvidedToBedrock", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]" ] } ] }
AWS KMS 주요 정책 요구 사항
모든 AWS KMS 키에는 정확히 하나의 키 정책이 있어야 합니다. 키 정책의 설명에 따라 키 사용 권한이 있는 사람과 AWS KMS 키를 사용할 수 있는 방법이 결정됩니다. IAM정책과 권한 부여를 사용하여 AWS KMS 키에 대한 액세스를 제어할 수도 있지만 모든 AWS KMS 키에는 키 정책이 있어야 합니다.
Amazon Bedrock의 필수 AWS KMS 주요 정책 요소
-
kms:Decrypt— AWS Key Management Service 키로 암호화한 파일의 경우 Amazon Bedrock에 해당 파일에 액세스하고 암호를 해독할 수 있는 권한을 제공합니다. -
kms:GenerateDataKey— 키를 사용하여 데이터 AWS Key Management Service 키를 생성할 수 있는 권한을 제어합니다. Amazon Bedrock은GenerateDataKey평가 작업을 위해 저장하는 임시 데이터를 암호화하는 데 사용합니다. -
kms:DescribeKey— 키에 대한 세부 정보를 제공합니다. KMS
기존 AWS KMS 키 정책에 다음 설명을 추가해야 합니다. Amazon Bedrock은 사용자가 지정한 데이터를 사용하여 Amazon Bedrock 서비스 버킷에 데이터를 임시로 저장할 수 AWS KMS 있는 권한을 제공합니다.
{ "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*", "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*" } } }
다음은 전체 정책의 예입니다. AWS KMS
{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "EnableIAMUserPermissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{CustomerAccountId}}:root" }, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*", "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*" } } } ] }
