Criptografia do Amazon Bedrock Studio

O Amazon Bedrock Studio está em uma versão prévia do Amazon Bedrock e está sujeito a alterações.

Por padrão, a criptografia de dados em repouso ajuda a reduzir a sobrecarga operacional e a complexidade envolvidas na proteção de dados confidenciais. Ao mesmo tempo, ela permite que você crie aplicações seguras que atendam aos rigorosos requisitos regulatórios e de conformidade de criptografia.

O Amazon Bedrock Studio usa chaves padrão de propriedade da AWS para criptografar automaticamente os dados em repouso. Não é possível visualizar, gerenciar ou auditar o uso de chaves de propriedade da AWS. Para obter mais informações, consulte Chaves de propriedade da AWS.

Embora não seja possível desabilitar essa camada de criptografia nem selecionar um tipo alternativo de criptografia, é possível adicionar uma segunda camada de criptografia sobre as chaves de criptografia pertencentes à AWS existentes escolhendo uma chave gerenciada pelo cliente ao criar domínios do Amazon Bedrock Studio. O Amazon Bedrock Studio é compatível com o uso de uma chave simétrica gerenciada pelo cliente que você cria, possui e gerencia para adicionar uma segunda camada de criptografia sobre a criptografia existente de propriedade da AWS. Como você tem controle total dessa camada de criptografia, é possível realizar as seguintes tarefas:

Estabelecer e manter as políticas de chaves
Estabelecer e manter políticas e concessões do IAM
Habilitar e desabilitar políticas de chave
Alternar o material de criptografia de chaves
Adicionar tags
Criar aliases de chaves
Programar a exclusão de chaves

Para obter mais informações, consulte Chaves gerenciadas pelo cliente.

nota

O Amazon Bedrock Studio habilita automaticamente a criptografia em repouso usando chaves de propriedade da AWS para proteger os dados de clientes sem nenhum custo.

No entanto, cobranças do AWS KMS se aplicam ao usar chaves gerenciadas pelo cliente. Para obter informações sobre preços, consulte Preços do AWS Amazon Key Management Service.

Criar uma chave gerenciada pelo cliente

É possível criar uma chave simétrica gerenciada pelo cliente usando o Console de Gerenciamento da AWS ou as APIs do AWS KMS.

Para criar uma chave simétrica gerenciada pelo cliente, siga as etapas em Criar chave simétrica gerenciada pelo cliente no Guia do desenvolvedor do AWS Key Management Service.

Política de chave: as políticas de chave controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chave, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, é possível especificar uma política de chave. Para obter mais informações, consulte Administrar o acesso a chaves gerenciadas pelo cliente no Guia do desenvolvedor do AWS Key Management Service.

nota

Se você usar uma chave gerenciada pelo cliente, marque a chave do AWS KMS com a chave EnableBedrock e um valor true. Para obter mais informações, consulte Marcação de chaves.

Para usar a chave gerenciada pelo cliente com os recursos do Amazon Bedrock Studio, as seguintes operações de API deverão ser permitidas na política de chave:

kms:CreateGrant: adiciona uma concessão a uma chave gerenciada pelo cliente. Concede acesso de controle a uma chave do KMS especificada, que permite o acesso às operações de concessão exigidas pelo Amazon Bedrock Studio. Para obter mais informações, consulte Usar concessões no Guia do desenvolvedor do AWS Key Management Service.
kms:DescribeKey: fornece os detalhes da chave gerenciada pelo cliente para permitir que o Amazon Bedrock Studio valide a chave.
kms:GenerateDataKey: retorna uma chave de dados simétrica exclusiva para uso fora do AWS KMS.
kms:Decrypt: descriptografa texto cifrado criptografado com uma chave do KMS.

Veja a seguir exemplos de instruções de política que é possível adicionar ao Amazon Bedrock Studio. Para usar a política, faça o seguinte:

Substitua as instâncias de \{FIXME:REGION\} pela região da AWS que você está usando e \{FIXME:ACCOUNT_ID\} pelo ID da sua conta da AWS. Os caracteres inválidos \ no JSON indicam onde você precisa fazer atualizações. Por exemplo, "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*" poderia ser "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:use-east-1:111122223333:agent/*".
Altere \{provisioning role name\} para o nome do perfil de provisionamento que você usará para o espaço de trabalho que usa a chave.
Altere \{Admin Role Name\} para o nome do perfil do IAM que terá privilégios de administração da chave.


{
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "Enable IAM User Permissions Based on Tags",
    "Effect": "Allow",
    "Principal": {
      "AWS": "*"
    },
    "Action": [
      "kms:Decrypt",
      "kms:GenerateDataKey",
      "kms:GenerateDataKeyPair",
      "kms:GenerateDataKeyPairWithoutPlaintext",
      "kms:GenerateDataKeyWithoutPlaintext",
      "kms:Encrypt"
    ],
    "Resource": "\{FIXME:KMS_ARN\}",
    "Condition": {
      "StringEquals": {
        "aws:PrincipalTag/AmazonBedrockManaged": "true",
        "kms:CallerAccount" : "\{FIXME:ACCOUNT_ID\}"
      },
      "StringLike": {
        "aws:PrincipalTag/AmazonDataZoneEnvironment": "*"
      }
    }
  },
    {
      "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*"
        }
      }
    },
    {
      "Sid": "Allows AOSS list keys",
      "Effect": "Allow",
      "Principal": {
        "Service": "aoss.amazonaws.com"
      },
      "Action": "kms:ListKeys",
      "Resource": "*"
    },
    {
      "Sid": "Allows AOSS to create grants",
      "Effect": "Allow",
      "Principal": {
        "Service": "aoss.amazonaws.com"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:CreateGrant"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "aoss.\{FIXME:REGION\}.amazonaws.com"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    },
    {
      "Sid": "Enable Decrypt, GenerateDataKey for DZ execution role",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:root"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:datazone:domainId": "*"
        }
      }
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RetireGrant"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:CallerAccount": "\{FIXME:ACCOUNT_ID\}"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    },
    {
      "Sid": "AllowPermissionForEncryptedGuardrailsOnProvisioningRole",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{provisioning role name\}"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:CreateGrant",
        "kms:Encrypt"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow use of CMK to encrypt logs in their account",
      "Effect": "Allow",
      "Principal": {
        "Service": "logs.\{FIXME:REGION\}.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyPair",
        "kms:GenerateDataKeyPairWithoutPlaintext",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:log-group:*"
        }
      }
    },
    {
      "Sid": "Allow access for Key Administrators",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{Admin Role Name\}"
      },
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*",
        "kms:TagResource",
        "kms:UntagResource",
        "kms:ScheduleKeyDeletion",
        "kms:CancelKeyDeletion"
      ],
      "Resource": "*"
    }
  ]
}

Para obter mais informações sobre como especificar permissões em uma política, consulte o Guia do desenvolvedor do AWS Key Management Service.

Para obter mais informações sobre solução de problemas de acesso à chave, consulte o Guia do desenvolvedor do AWS Key Management Service.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criptografia de recursos da base de conhecimento

Proteja os dados usando a Amazon VPC