本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 加密匯入的自訂模型
<a name="encryption-import-model"></a>

Amazon Bedrock 支援透過兩種使用相同加密方法的方法建立自訂模型。您的自訂模型由 管理和存放AWS：
+ **自訂模型匯入任務** — 用於匯入自訂開放原始碼基礎模型 (例如 Mistral AI 或 Llama 模型)。
+ **建立自訂模型**：用於匯入您在 SageMaker AI 中自訂的 Amazon Nova 模型。

如需加密自訂模型，Amazon Bedrock 提供下列選項：
+ **AWS擁有的金鑰** – 根據預設，Amazon Bedrock 會使用AWS擁有的金鑰來加密匯入的自訂模型。您無法檢視、管理或使用AWS擁有的金鑰，或稽核其使用方式。不過，您不必採取任何動作或變更任何程式，即可保護加密您資料的金鑰。如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》**中的 [AWS 擁有的金鑰](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#aws-owned-cmk)。
+ **客戶受管金鑰 (CMK)** – 您可以選擇客戶受管金鑰 (CMK)，在現有AWS擁有的加密金鑰上新增第二層加密。您可以建立、擁有及管理客戶自管金鑰。

   由於您可以完全控制此層加密，因此能執行以下任務：
  + 建立和維護金鑰政策
  + 建立和維護 IAM 政策和授予
  + 啟用和停用金鑰政策
  + 輪換金鑰密碼編譯資料
  + 新增標籤
  + 建立金鑰別名
  + 排程金鑰刪除

  如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》**中的[客戶自管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。

**注意**  
對於您匯入的所有自訂模型，Amazon Bedrock 會使用AWS擁有的金鑰自動啟用靜態加密，以免費保護客戶資料。如果您使用客戶受管金鑰，則需支付 AWS KMS費用。如需定價的詳細資訊，請參閱 [AWS Key Management Service 定價](https://docs.aws.amazon.com/)。

## Amazon Bedrock 如何在 中使用授予AWS KMS
<a name="import-model-kms-grants"></a>

如果您指定客戶自管金鑰來加密匯入的模型。Amazon Bedrock 會傳送 [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html) 請求至 ，以代表您建立與匯入模型相關聯的**主要**AWS KMS[授權](https://docs.aws.amazon.com/)AWS KMS。此授予允許 Amazon Bedrock 存取和使用客戶自管金鑰。中的授予AWS KMS用於授予 Amazon Bedrock 存取客戶帳戶中 KMS 金鑰的權限。

Amazon Bedrock 需要主要授予，才能在下列內部操作中使用客戶自管金鑰：
+ 傳送 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 請求至 AWS KMS，以驗證您在建立任務時輸入的對稱客戶受管 KMS 金鑰 ID 是否有效。
+ 將 [GenerateDataKey](https://docs.aws.amazon.com//kms/latest/APIReference/API_GenerateDataKey.html) 和 [Decrypt](https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html) 請求傳送至 AWS KMS，以產生由客戶自管金鑰加密的資料金鑰，並解密加密的資料金鑰，以便將這些金鑰用來加密模型成品。
+ 傳送 [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html) 請求至 AWS KMS，以使用上述操作子集 (`DescribeKey`、`GenerateDataKey`、`Decrypt`) 建立縮小範圍的次要授權，以非同步執行模型匯入和隨需推論。
+ Amazon Bedrock 會在建立授予期間指定淘汰主體，因此服務可以傳送 [RetireGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_RetireGrant.html) 請求。

您可以完整存取客戶受管AWS KMS金鑰。您可以依照《AWS Key Management Service 開發人員指南》**中[淘汰和撤銷授予](https://docs.aws.amazon.com//kms/latest/developerguide/grant-manage.html#grant-delete)中的步驟來撤銷授予的存取權，或隨時修改金鑰政策來移除服務對客戶自管金鑰的存取權。如果您這樣做，Amazon Bedrock 將無法存取以金鑰加密的匯入模型。

### 自訂匯入模型之主要和次要授予的生命週期
<a name="import-model-kms-grants-lifecycle"></a>
+ **主要授予**的生命週期很長，只要相關聯的自訂模型仍在使用中，就會保持作用中狀態。刪除自訂匯入模型時，對應的主要授予會自動遭到淘汰。
+ **次要授予**是短期的。一旦 Amazon Bedrock 代表客戶執行的操作完成，這些授予就會自動遭到淘汰。例如，自訂模型匯入任務完成後，會立即淘汰允許 Amazon Bedrock 加密自訂匯入模型的次要授予。