模型評估任務的資料加密 - Amazon Bedrock

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

模型評估任務的資料加密

在模型評估任務期間,Amazon 基岩會製作一份暫時存在的資料副本。Amazon 基岩會在任務完成後刪除資料。它使用密 AWS KMS 鑰對其進行加密。它可以使用您指定的 AWS KMS 金鑰,或使用 Amazon 基岩擁有的金鑰來加密資料。

Amazon Bdrock 使用下列項目IAM和 AWS Key Management Service 許可,使用您的 AWS KMS 金鑰解密資料並加密其製作的臨時副本。

AWS Key Management Service 模型評估工作的支援

使用、或支援的建立模型評估任務時 AWS Management Console AWS CLI, AWS SDK您可以選擇使用 Amazon 基岩擁有的KMS金鑰或您自己的客戶管理金鑰。如果未指定客戶受管金鑰,則預設會使用 Amazon 基岩擁有的金鑰。

若要使用客戶管理的金鑰,您必須將必要的IAM動作和資源新增至IAM服務角色的政策。您也必須新增必要的 AWS KMS 金鑰原則元素。

您還需要創建一個可以與客戶管理的密鑰進行交互的策略。這是在單獨的 AWS KMS 密鑰策略中指定的。

Amazon 基岩使用下列項目IAM和 AWS KMS 許可,使用您的 AWS KMS 金鑰解密檔案並存取檔案。它會將這些檔案儲存到 Amazon 基岩管理的內部 Amazon S3 位置,並使用下列許可對其進行加密。

IAM原則需求

與您用來向 Amazon 基岩發出請求的IAM角色相關聯的IAM政策必須具有以下元素。若要深入了解如何管理 AWS KMS 金鑰,請參閱使用IAM政策搭配 AWS Key Management Service

Amazon 基岩中的模型評估工作使用 AWS 自有的金鑰。這些KMS密鑰由 Amazon 基岩擁有。若要進一步了解 AWS 擁有的金鑰,請參閱AWS Key Management Service 開發人員指南中的AWS 擁有金鑰

必要的IAM原則元素
  • kms:Decrypt— 對於您使用 AWS Key Management Service 金鑰加密的檔案,Amazon Bdrock 提供存取和解密這些檔案的權限。

  • kms:GenerateDataKey— 控制使用金 AWS Key Management Service 鑰產生資料金鑰的權限。Amazon 基岩會用GenerateDataKey來加密其存放的臨時資料,以進行評估任務。

  • kms:DescribeKey— 提供有關KMS金鑰的詳細資訊。

  • kms:ViaService— 條件金鑰會限制對來自指定 AWS 服務的要求使用KMS金鑰。您必須將 Amazon S3 指定為服務,因為 Amazon 基岩會將您的資料暫時複本存放在其擁有的 Amazon S3 位置。

以下是僅包含必要 AWS KMS IAM動作和資源的範例IAM原則。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CustomKMSKeyProvidedToBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]" ], "Condition": { "StringEquals": { "kms:ViaService": "s3.{{region}}.amazonaws.com" } } }, { "Sid": "CustomKMSDescribeKeyProvidedToBedrock", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]" ] } ] }

AWS KMS 關鍵原則需求

每個 AWS KMS 金鑰都必須只有一個金鑰原則。金鑰原則中的陳述式會決定誰有權使用 AWS KMS 金鑰,以及使用金鑰的方式。您也可以使用政IAM策和授權來控制 AWS KMS 金鑰的存取權,但是每個 AWS KMS 金鑰都必須有金鑰原則。

Amazon 基岩中所需的 AWS KMS 關鍵政策元素
  • kms:Decrypt— 對於您使用 AWS Key Management Service 金鑰加密的檔案,Amazon Bdrock 提供存取和解密這些檔案的權限。

  • kms:GenerateDataKey— 控制使用金 AWS Key Management Service 鑰產生資料金鑰的權限。Amazon 基岩會用GenerateDataKey來加密其存放的臨時資料,以進行評估任務。

  • kms:DescribeKey— 提供有關KMS金鑰的詳細資訊。

您必須將下列陳述式新增至現有的 AWS KMS 金鑰原則。它為 Amazon 基岩提供許可,以便使用您指定的將資料暫時存放在 Amazon 基岩服務儲存貯體中 AWS KMS 。

{ "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*", "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*" } } }

以下是完整 AWS KMS 策略的範例。

{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "EnableIAMUserPermissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{CustomerAccountId}}:root" }, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*", "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*" } } } ] }