本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 导入的自定义模型的加密
<a name="encryption-import-model"></a>

Amazon Bedrock 支持通过两种方式创建自定义模型，这两种方式使用了相同的加密方法。您的自定义模型由以下人员管理和存储AWS：
+ **自定义模型导入作业** – 用于导入自定义的开源基础模型（如 Mistral AI 或 Llama 模型）。
+ **创建自定义模型** — 用于导入你在 A SageMaker I 中自定义的 Amazon Nova 模型。

对于自定义模型的加密，Amazon Bedrock 提供了以下选项：
+ **AWS自有密钥** — 默认情况下，Amazon Bedrock 使用AWS自有密钥对导入的自定义模型进行加密。您无法查看、管理或使用AWS自有密钥，也无法审核其使用情况。但是，无需采取任何措施或更改任何计划即可保护用于加密数据的密钥。有关更多信息，请参阅《AWS Key Management Service 开发人员指南》**中的 [AWS 拥有的密钥](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#aws-owned-cmk)。
+ **客户托管密钥 (CMK)** — 您可以通过选择客户托管密钥 (CMK) 来选择在现有AWS拥有的加密密钥之上添加第二层加密。您可以创建、拥有和管理自己的客户自主管理型密钥。

   由于您可以完全控制这层加密，因此可以执行以下任务：
  + 建立和维护密钥策略
  + 创建和维护 IAM 策略和授权
  + 启用和禁用密钥策略
  + 轮换密钥加密材料
  + 添加标签
  + 创建密钥别名
  + 计划密钥删除

  有关更多信息，请参阅《AWS Key Management Service Developer Guide》**中的 [customer managed key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。

**注意**  
对于您导入的所有自定义模型，Amazon Bedrock 会使用AWS自有密钥自动启用静态加密，从而免费保护客户数据。如果您使用客户管理的密钥，则需要AWS KMS付费。有关定价的更多信息，请参阅 [AWS Key Management Service 定价](https://docs.aws.amazon.com/)。

## Amazon Bedrock 如何使用补助金 AWS KMS
<a name="import-model-kms-grants"></a>

如果您指定客户自主管理型密钥来加密导入的模型。Amazon Bedrock 通过向发送[CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)申请，代表您创建与导入模型相关**的主要AWS KMS**[授权](https://docs.aws.amazon.com/)。AWS KMS此授权允许 Amazon Bedrock 访问和使用您的客户自主管理型密钥。中的赠款AWS KMS用于让 Amazon Bedrock 访问客户账户中的 KMS 密钥。

Amazon Bedrock 需要主授权，才能将客户自主管理型密钥用于以下内部操作：
+ 向发送[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)请求，AWS KMS以验证您在创建任务时输入的对称客户托管 KMS 密钥 ID 是否有效。
+ 向发送[GenerateDataKey](https://docs.aws.amazon.com//kms/latest/APIReference/API_GenerateDataKey.html)和[解密](https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html)请求，AWS KMS以生成由您的客户托管密钥加密的数据密钥并解密加密的数据密钥，以便它们可用于加密模型工件。
+ 向发送[CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)请求AWS KMS，使用上述操作的子集（`DescribeKey`、、`GenerateDataKey``Decrypt`）创建限定范围的次要授权，用于异步执行模型导入和按需推理。
+ Amazon Bedrock 在创建补助金时指定了退休委托人，因此该服务可以发送请求。[RetireGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_RetireGrant.html)

您拥有对客户托管AWS KMS密钥的完全访问权限。您可以按照《AWS Key Management Service 开发人员指南》**的[停用和撤销授权](https://docs.aws.amazon.com//kms/latest/developerguide/grant-manage.html#grant-delete)中的步骤撤销授权，也可以通过修改密钥策略随时删除服务对您的客户自主管理型密钥的访问权限。这样一来，Amazon Bedrock 将无法访问由您的密钥加密的导入模型。

### 自定义导入模型的主授权和二级授权的生命周期
<a name="import-model-kms-grants-lifecycle"></a>
+ **主授权**的使用期限较长，只要相关的自定义模型仍在使用，它就会一直处于有效状态。删除自定义导入模型后，相应的主授权将自动停用。
+ **二级授权**的使用期限较短。一旦 Amazon Bedrock 代表客户执行的操作完成，它们就会自动停用。例如，自定义模型导入作业完成后，允许 Amazon Bedrock 对导入模型进行加密的二级授权将立即停用。