Criptografia de dados para trabalhos de avaliação de modelo - Amazon Bedrock

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de dados para trabalhos de avaliação de modelo

Durante o trabalho de avaliação do modelo, o Amazon Bedrock faz uma cópia dos seus dados que existem temporariamente. O Amazon Bedrock exclui os dados após a conclusão do trabalho. Ele usa uma AWS KMS chave para criptografá-lo. Ele usa uma AWS KMS chave que você especifica ou uma chave de propriedade da Amazon Bedrock para criptografar os dados.

O Amazon Bedrock usa o seguinte IAM e AWS Key Management Service as permissões para usar sua AWS KMS chave para descriptografar seus dados e criptografar a cópia temporária que ele faz.

AWS Key Management Service suporte em trabalhos de avaliação de modelos

Ao criar um trabalho de avaliação de modelo usando o,, ou um suporte AWS Management Console AWS CLI, AWS SDK você pode optar por usar uma chave de propriedade da Amazon Bedrock ou sua própria KMS chave gerenciada pelo cliente. Se nenhuma chave gerenciada pelo cliente for especificada, uma chave de propriedade da Amazon Bedrock será usada por padrão.

Para usar uma chave gerenciada pelo cliente, você deve adicionar as IAM ações e os recursos necessários à política da função de IAM serviço. Você também deve adicionar os AWS KMS principais elementos de política necessários.

Você também precisa criar uma política que possa interagir com sua chave gerenciada pelo cliente. Isso é especificado em uma política de AWS KMS chaves separada.

O Amazon Bedrock usa o seguinte IAM e AWS KMS as permissões para usar sua AWS KMS chave para descriptografar seus arquivos e acessá-los. Ele salva esses arquivos em um local interno do Amazon S3 gerenciado pelo Amazon Bedrock e usa as seguintes permissões para criptografá-los.

IAMrequisitos de política

A IAM política associada à IAM função que você está usando para fazer solicitações ao Amazon Bedrock deve ter os seguintes elementos. Para saber mais sobre como gerenciar suas AWS KMS chaves, consulte Usando IAM políticas com AWS Key Management Service.

Os trabalhos de avaliação de modelos no Amazon Bedrock usam chaves AWS próprias. Essas KMS chaves são de propriedade da Amazon Bedrock. Para saber mais sobre chaves AWS próprias, consulte chaves AWS próprias no Guia do AWS Key Management Service desenvolvedor.

Elementos IAM de política necessários
  • kms:Decrypt— Para arquivos que você criptografou com sua AWS Key Management Service chave, fornece ao Amazon Bedrock permissões para acessar e descriptografar esses arquivos.

  • kms:GenerateDataKey— Controla a permissão para usar a AWS Key Management Service chave para gerar chaves de dados. O Amazon Bedrock usa GenerateDataKey para criptografar os dados temporários que armazena para o trabalho de avaliação.

  • kms:DescribeKey— Fornece informações detalhadas sobre uma KMS chave.

  • kms:ViaService— A chave de condição limita o uso de uma KMS chave às solicitações de AWS serviços específicos. Você deve especificar o Amazon S3 como um serviço porque o Amazon Bedrock armazena uma cópia temporária dos seus dados em um local do Amazon S3 de sua propriedade.

Veja a seguir um exemplo IAM de política que contém somente as AWS KMS IAM ações e os recursos necessários.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CustomKMSKeyProvidedToBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]" ], "Condition": { "StringEquals": { "kms:ViaService": "s3.{{region}}.amazonaws.com" } } }, { "Sid": "CustomKMSDescribeKeyProvidedToBedrock", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]" ] } ] }

AWS KMS principais requisitos de política

Cada AWS KMS chave deve ter exatamente uma política de chaves. As declarações na política de chaves determinam quem tem permissão para usar a AWS KMS chave e como eles podem usá-la. Você também pode usar IAM políticas e concessões para controlar o acesso à AWS KMS chave, mas cada AWS KMS chave deve ter uma política de chaves.

AWS KMS Principais elementos de política necessários no Amazon Bedrock
  • kms:Decrypt— Para arquivos que você criptografou com sua AWS Key Management Service chave, fornece ao Amazon Bedrock permissões para acessar e descriptografar esses arquivos.

  • kms:GenerateDataKey— Controla a permissão para usar a AWS Key Management Service chave para gerar chaves de dados. O Amazon Bedrock usa GenerateDataKey para criptografar os dados temporários que armazena para o trabalho de avaliação.

  • kms:DescribeKey— Fornece informações detalhadas sobre uma KMS chave.

Você deve adicionar a seguinte declaração à sua política de AWS KMS chaves existente. Ele fornece ao Amazon Bedrock permissões para armazenar temporariamente seus dados em um bucket de serviços do Amazon Bedrock usando o AWS KMS que você especificou.

{ "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*", "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*" } } }

Veja a seguir um exemplo de uma AWS KMS política completa.

{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "EnableIAMUserPermissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{CustomerAccountId}}:root" }, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*", "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*" } } } ] }