本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
自定义模型导入加密
Amazon Bedrock 的 “自定义模型导入” 处于预览版,可能会发生变化。 |
Amazon Bedrock 支持使用自定义模型导入功能来导入您在其他环境(例如亚马逊 SageMaker)中创建的模型,从而创建自定义模型。您的自定义导入模型由管理和存储 AWS。有关更多信息,请参阅导入模型。
为了加密您的自定义导入模型,Amazon Bedrock 提供了以下选项:
-
AWS 自有密钥 — 默认情况下,Amazon Bedrock 使用 AWS 自有密钥对自定义导入的模型进行加密。您无法查看、管理或使用 AWS 自有密钥,也无法审核其使用情况。但是,无需采取任何措施或更改任何计划即可保护用于加密数据的密钥。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的 AWS 拥有的密钥。
-
客户托管密钥 (CMK) — 您可以通过选择客户托管密钥 (CMK) 来选择在现有 AWS 拥有的加密密钥之上添加第二层加密。您可以创建、拥有和管理您的客户托管密钥。
由于您可以完全控制此加密层,因此可以在其中执行以下任务:
-
制定和维护关键政策
-
制定和维护IAM政策及补助金
-
启用和禁用密钥策略
-
轮换密钥加密材料
-
添加标签
-
创建密钥别名
-
计划删除密钥
有关更多信息,请参阅《密钥管理服务开发人员指南》中的客户托管AWS密钥。
-
注意
对于您导入的所有自定义模型,Amazon Bedrock 会使用 AWS 自有密钥自动启用静态加密,从而免费保护客户数据。如果您使用客户管理的密钥,则需要 AWS KMS 付费。有关定价的更多信息,请参阅AWS Key Management Service 定价。 。
Amazon Bedrock 如何使用补助金 AWS KMS
如果您指定客户管理的密钥来加密导入的模型。Amazon Bedrock 通过向发送CreateGrant申请,代表您创建与导入模型相关的主要 AWS KMS 授权。 AWS KMS此项拨款允许 Amazon Bedrock 访问和使用您的客户托管密钥。中的赠款 AWS KMS 用于让 Amazon Bedrock 访问客户账户中的KMS密钥。
Amazon Bedrock 需要获得主授权,才能使用您的客户托管密钥进行以下内部操作:
-
向发送DescribeKey请求, AWS KMS 以验证您在创建任务时输入的对称客户托管KMS密钥 ID 是否有效。
-
向发送GenerateDataKey和解密请求, AWS KMS 以生成由您的客户托管密钥加密的数据密钥并解密加密的数据密钥,以便它们可用于加密模型工件。
-
向发送CreateGrant请求 AWS KMS ,使用上述操作的子集(
DescribeKey、、GenerateDataKeyDecrypt)创建限定范围的次要授权,用于异步执行模型导入和按需推理。 -
Amazon Bedrock 在创建补助金时指定了退休委托人,因此该服务可以发送请求。RetireGrant
您拥有对客户托管 AWS KMS 密钥的完全访问权限。您可以按照《AWS 密钥管理服务开发者指南》中的 “停用和撤消授权” 中的步骤撤消对授权的访问权限。也可以通过修改密钥策略随时删除该服务对您的客户托管密钥的访问权限。如果您这样做,Amazon Bedrock 将无法访问由您的密钥加密的导入模型。
自定义导入模型的主要和次要授权的生命周期
-
主补助金的使用期限很长,只要相关的自定义模型仍在使用,它就会一直处于活动状态。删除自定义导入的模型后,相应的主授权将自动停用。
-
二级补助金是短暂的。一旦 Amazon Bedrock 代表客户执行的操作完成,它们就会自动停用。例如,自定义模型导入任务完成后,允许 Amazon Bedrock 加密自定义导入模型的二级授权将立即停用。
