

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Key Management Service 모델 평가 작업 지원
<a name="model-evaluation-security-data"></a>

Amazon Bedrock은 다음 IAM 및 AWS KMS 권한을 사용하여 AWS KMS 키를 사용하여 파일을 해독하고 액세스합니다. 이러한 파일은 Amazon Bedrock에서 관리하는 내부 Amazon S3 위치에 저장되며 다음 권한으로 암호화됩니다.

## IAM 정책 요구 사항
<a name="model-evaluation-security-kms-policy-1"></a>

Amazon Bedrock에 요청을 전송하는 데 사용하는 IAM 역할과 연결된 IAM 정책에는 다음 요소가 있어야 합니다. AWS KMS 키 관리에 대한 자세한 내용은 [AWS Key Management Service에서 IAM 정책 사용하기](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html)를 참조하세요.

Amazon Bedrock의 모델 평가 작업은 AWS 소유 키를 사용합니다. 이러한 KMS 키는 Amazon Bedrock에서 소유합니다. AWS 소유 키에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [AWS 소유 키를](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) 참조하세요.

**필수 IAM 정책 요소**
+ `kms:Decrypt` - AWS Key Management Service 키로 암호화한 파일의 경우는 Amazon Bedrock에 해당 파일에 액세스하고 해독할 수 있는 권한을 제공합니다.
+ `kms:GenerateDataKey` - AWS Key Management Service 키를 사용하여 데이터 키를 생성할 수 있는 권한을 제어합니다. Amazon Bedrock은 `GenerateDataKey`를 사용하여 평가 작업에 대해 저장하는 임시 데이터를 암호화합니다.
+ `kms:DescribeKey` - KMS 키에 관한 세부 정보를 제공합니다.
+ `kms:ViaService` - 조건 키는 KMS 키 사용을 지정된 AWS 서비스의 요청으로 제한합니다. Amazon Bedrock은 소유한 Amazon S3 위치에 데이터의 임시 사본을 저장하므로 Amazon S3를 서비스로 지정해야 합니다.

다음은 필요한 AWS KMS IAM 작업 및 리소스만 포함하는 IAM 정책의 예입니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrock",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/[[keyId]]"
            ]
        },
        {
            "Sid": "CustomKMSDescribeKeyProvidedToBedrock",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/[[keyId]]"
            ]
        }
    ]
}
```

------

### CreateEvaluationJob API를 직접 호출하는 역할에 대한 KMS 권한 설정
<a name="model-evaluation-kms-create-job-1"></a>

평가 작업에 사용하는 KMS 키에서 평가 작업을 생성하는 데 사용되는 역할에 대한 DescribeKey, GenerateDataKey 및 Decrypt 권한이 있는지 확인합니다.

KMS 키 정책 예제

```
{
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/APICallingRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kmsDescribeKey"
            ],
            "Resource": "*"
       }
   ]
}
```

CreateEvaluationJob API를 직접 호출하는 역할에 대한 IAM 정책 예제

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/keyYouUse"
            ]
        }
    ]
}
```

------