Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenverschlüsselung
Amazon Bedrock verwendet Verschlüsselung, um Daten im Ruhezustand und Daten während der Übertragung zu schützen.
**Verschlüsselung während der Übertragung**
Innerhalb unterstützen alle Netzwerkdaten AWS, die übertragen werden, die TLS 1.2-Verschlüsselung.
Anforderungen an die Amazon-Bedrock-API und -Konsole werden über eine sichere SSL-Verbindung gesendet. Sie geben AWS Identity and Access Management (IAM) -Rollen an Amazon Bedrock weiter, um in Ihrem Namen Berechtigungen für den Zugriff auf Ressourcen für Schulungen und Bereitstellungen zu gewähren.
**Verschlüsselung im Ruhezustand**
Amazon Bedrock bietet [Verschlüsselung benutzerdefinierter Modelle](encryption-custom-job.md) im Ruhezustand.
## Schlüsselverwaltung
Verwenden Sie die AWS Key Management Service , um die Schlüssel zu verwalten, mit denen Sie Ihre Ressourcen verschlüsseln. Weitere Informationen finden Sie unter [AWS Key Management Service -Konzepte](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys). Sie können die folgenden Ressourcen mit einem KMS-Schlüssel nutzen.
+ Über Amazon Bedrock
+ Modellierungsanpassungsaufträge und ihre Ausgabe von benutzerdefinierten Modellen — Während der Auftragserstellung in der Konsole oder durch Angabe des `customModelKmsKeyId` Felds im [CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)API-Aufruf.
+ Agenten — Während der Agentenerstellung in der Konsole oder durch Angabe des `customerEncryptionKeyArn` Felds im [CreateAgent](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateAgent.html)API-Aufruf.
+ Jobs zur Datenquellenaufnahme für Wissensdatenbanken — Während der Erstellung der Wissensdatenbank in der Konsole oder durch Angabe des `kmsKeyArn` Felds im [CreateDataSource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateDataSource.html)oder [UpdateDataSource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_UpdateDataSource.html)API-Aufruf.
+ Vector Stores in Amazon OpenSearch Service — Während der Erstellung von Vector Stores. Weitere Informationen finden Sie unter [Amazon OpenSearch Service-Sammlungen erstellen, auflisten und löschen](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-manage.html) und [Verschlüsselung ruhender Daten für Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html).
+ Modellevaluierungsjobs — Wenn Sie einen Modellevaluierungsjob in der Konsole erstellen oder indem Sie ` customerEncryptionKeyId` im [CreateEvaluationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateEvaluationJob.html)API-Aufruf einen Schlüssel-ARN angeben.
+ Über Amazon S3 — Weitere Informationen finden Sie unter [Serverseitige Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS) verwenden](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).
+ Trainings-, Validierungs- und Ausgabedaten für die Modellanpassung
+ Datenquellen für Wissensdatenbanken
+ Durch AWS Secrets Manager — Weitere Informationen finden Sie unter [Geheime Verschlüsselung](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) und Entschlüsselung in AWS Secrets Manager
+ Vektorspeicher für Modelle von Drittanbietern
Nachdem Sie eine Ressource verschlüsselt haben, können Sie den ARN des KMS-Schlüssels ermitteln, indem Sie eine Ressource auswählen und ihre **Details** in der Konsole anzeigen oder indem Sie die folgenden `Get`-API-Aufrufe verwenden.
+ [GetModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_GetModelCustomizationJob.html)
+ [GetAgent](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_GetAgent.html)
+ [GetIngestionJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_GetIngestionJob.html)
# Verschlüsselung benutzerdefinierter Modelle
Amazon Bedrock verwendet Ihre Trainingsdaten mit der [CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)Aktion oder mit der [Konsole](model-customization-submit.md), um ein benutzerdefiniertes Modell zu erstellen, das eine fein abgestimmte Version eines Amazon Bedrock-Grundmodells ist. Ihre benutzerdefinierten Modelle werden von verwaltet und gespeichert. AWS
Amazon Bedrock verwendet die von Ihnen bereitgestellten Feinabstimmungsdaten nur für die Optimierung eines Amazon-Bedrock-Basismodells. Amazon Bedrock verwendet Feinabstimmungsdaten nicht für andere Zwecke. Ihre Trainingsdaten werden nicht zum Trainieren der Titan-Basismodelle verwendet oder an Dritte weitergegeben. Andere Nutzungsdaten, wie Nutzungszeitstempel, protokolliertes Konto IDs und andere vom Dienst protokollierte Informationen, werden ebenfalls nicht zum Trainieren der Modelle verwendet.
Die Trainings- oder Validierungsdaten, die Sie für die Feinabstimmung angeben, werden nach Abschluss des Feinabstimmungsauftrags nicht in Amazon Bedrock gespeichert.
Beachten Sie, dass optimierte Modellen einige der Feinabstimmungsdaten wiedergeben können, während sie Abschlüsse generieren. Wenn Ihre App Feinabstimmungsdaten in keinerlei Form offenlegen sollte, empfiehlt es sich, vertrauliche Daten zuerst aus Ihren Trainingsdaten herausfiltern. Wenn Sie bereits versehentlich ein benutzerdefiniertes Modell mit vertraulichen Daten erstellt haben, können Sie dieses benutzerdefinierte Modell löschen, vertrauliche Informationen aus den Trainingsdaten herausfiltern und dann ein neues Modell erstellen.
Für die Verschlüsselung benutzerdefinierter Modelle (einschließlich kopierter Modelle) bietet Ihnen Amazon Bedrock zwei Optionen:
1. **AWS-eigene Schlüssel**— Standardmäßig verschlüsselt Amazon Bedrock benutzerdefinierte Modelle mit. AWS-eigene Schlüssel Sie können ihre Verwendung nicht einsehen, verwaltenAWS-eigene Schlüssel, verwenden oder überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter [AWS-eigene Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) im *AWS Key Management Service-Entwicklerhandbuch*.
1. **Kundenseitig verwaltete Schlüssel**: Sie haben die Möglichkeit, benutzerdefinierte Modelle mit kundenseitig verwalteten Schlüsseln zu verschlüsseln, die Sie selbst verwalten. Weitere Informationen dazu finden Sie AWS KMS keys unter Vom [Kunden verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) im *AWS Key Management ServiceEntwicklerhandbuch*.
**Anmerkung**
Amazon Bedrock aktiviert automatisch und kostenlos die Verschlüsselung AWS-eigene Schlüssel im Ruhezustand. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, AWS KMS fallen Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter [AWS Key Management Service – Preise](https://aws.amazon.com/kms/pricing/).
Weitere Informationen zu AWS KMS finden Sie im [AWS Key Management ServiceEntwicklerhandbuch](https://docs.aws.amazon.com/kms/latest/developerguide/).
**Topics**
+ [So verwendet Amazon Bedrock Zuschüsse in AWS KMS](#encryption-br-grants)
+ [Erfahren Sie, wie Sie einen kundenseitig verwalteten Schlüssel erstellen und ihm eine Schlüsselrichtlinie zuordnen](#encryption-key-policy)
+ [Berechtigungen und Schlüsselrichtlinien für benutzerdefinierte und kopierte Modelle](#encryption-cm-statements)
+ [Ihre Verschlüsselungsschlüssel für den Amazon-Bedrock-Service überwachen](#encryption-monitor-key)
+ [Verschlüsselung von Trainings-, Validierungs- und Ausgabedaten](#encryption-custom-job-data)
## So verwendet Amazon Bedrock Zuschüsse in AWS KMS
Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, um ein benutzerdefiniertes Modell für eine Modellanpassung oder einen Modellkopierauftrag zu verschlüsseln, erstellt Amazon Bedrock in Ihrem Namen einen **primären** [KMS-Zuschuss](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), der mit dem benutzerdefinierten Modell verknüpft ist, indem es eine [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfrage an sendet. AWS KMS Diese Erteilung ermöglicht Amazon Bedrock den Zugriff auf Ihren kundenseitig verwalteten Schlüssel und dessen Verwendung. Grants in AWS KMS werden verwendet, um Amazon Bedrock Zugriff auf einen KMS-Schlüssel im Konto eines Kunden zu gewähren.
Amazon Bedrock benötigt die primäre Erteilung, um Ihren kundenseitig verwalteten Schlüssel für die folgenden internen Vorgänge zu verwenden:
+ Senden Sie [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Anfragen, um AWS KMS zu überprüfen, ob die symmetrische, kundenverwaltete KMS-Schlüssel-ID, die Sie bei der Erstellung des Auftrags eingegeben haben, gültig ist.
+ Senden [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)und [Entschlüsseln](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) von Anfragen AWS KMS zur Generierung von Datenschlüsseln, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden, und zur Entschlüsselung der verschlüsselten Datenschlüssel, sodass sie zur Verschlüsselung der Modellartefakte verwendet werden können.
+ Senden Sie [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfragen an, AWS KMS um sekundäre Zuschüsse mit eingeschränktem Geltungsbereich mit einer Teilmenge der oben genannten Operationen (`DescribeKey`,, `GenerateDataKey``Decrypt`) für die asynchrone Ausführung von Modellanpassungen, Modellkopien oder die Erstellung des bereitgestellten Durchsatzes zu erstellen.
+ Amazon Bedrock legt bei der Erstellung von Zuschüssen einen Schulleiter fest, der in den Ruhestand geht, sodass der Service eine [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)Anfrage senden kann.
Sie haben vollen Zugriff auf Ihren vom Kunden verwalteten AWS KMS Schlüssel. Sie können den Zugriff auf die Erteilung jederzeit widerrufen, indem Sie die Schritte unter [Zurückziehen und Widerrufen von Erteilungen](https://docs.aws.amazon.com/kms/latest/developerguide/grant-manage.html#grant-delete) im [Entwicklerhandbuch zu AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/) befolgen, oder den Zugriff des Dienstes auf Ihren kundenseitig verwalteten Schlüssel entfernen, indem Sie die [Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) ändern. Dadurch kann Amazon Bedrock nicht mehr auf das mit Ihrem Schlüssel verschlüsselte benutzerdefinierte Modell zugreifen.
### Lebenszyklus von primären und sekundären Erteilungen für benutzerdefinierte Modelle
+ **Primäre Erteilungen** haben eine lange Laufzeit und bleiben aktiv, solange die zugehörigen benutzerdefinierten Modelle noch verwendet werden. Wenn ein benutzerdefiniertes Modell gelöscht wird, wird die entsprechende primäre Erteilung automatisch zurückgezogen.
+ **Sekundäre Erteilungen** sind kurzlebig. Sie werden automatisch zurückgezogen, sobald der Vorgang, den Amazon Bedrock im Namen der Kunden durchführt, abgeschlossen ist. Sobald beispielsweise ein Auftrag zum Kopieren eines Modells abgeschlossen ist, wird die sekundäre Erteilung, die es Amazon Bedrock ermöglichte, das kopierte benutzerdefinierte Modell zu verschlüsseln, zurückgezogen.
## Erfahren Sie, wie Sie einen kundenseitig verwalteten Schlüssel erstellen und ihm eine Schlüsselrichtlinie zuordnen
Um eine AWS Ressource mit einem von Ihnen erstellten und verwalteten Schlüssel zu verschlüsseln, führen Sie die folgenden allgemeinen Schritte aus:
1. (Voraussetzung) Stellen Sie sicher, dass Ihre IAM-Rolle über die Berechtigungen für die [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Aktion verfügt.
1. Folgen Sie den Schritten unter [Schlüssel erstellen](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html), um mithilfe der AWS KMS Konsole oder des [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgangs einen vom Kunden verwalteten Schlüssel zu erstellen.
1. Beim Erstellen des Schlüssels wird für diesen ein `Arn` zurückgegeben, den Sie für Vorgänge verwenden können, die die Verwendung des Schlüssels erfordern (z. B. beim [Senden eines Auftrags zur Modellanpassung](model-customization-submit.md) oder beim [Ausführen einer Modellinferenz](inference-invoke.md)).
1. Erstellen Sie eine Schlüsselrichtlinie und ordnen Sie sie zusammen mit den erforderlichen Berechtigungen dem Schlüssel zu. Um eine Schlüsselrichtlinie zu erstellen, folgen Sie den Schritten unter [Erstellen einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) im AWS Key Management Service Entwicklerhandbuch.
## Berechtigungen und Schlüsselrichtlinien für benutzerdefinierte und kopierte Modelle
Nachdem Sie einen KMS-Schlüssel erstellt haben, ordnen Sie ihm eine Schlüsselrichtlinie zu. Bei Schlüsselrichtlinien handelt es sich um [ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html), die Sie Ihrem kundenseitig verwalteten Schlüssel zuordnen, um den Zugriff darauf zu kontrollieren. Jeder kundenseitig verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren kundenseitig verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Sie können die Schlüsselrichtlinie jederzeit ändern, es kann jedoch eine Weile dauern, bis die Änderung in allen Bereichen von AWS KMS verfügbar wird. Weitere Informationen finden Sie unter [Verwalten des Zugriffs auf kundenseitig verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) im [Entwicklerhandbuch zum AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/).
Die folgenden KMS-[Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions) werden für Schlüssel verwendet, die benutzerdefinierte und kopierte Modelle verschlüsseln:
1. [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) — Erzeugt einen Zuschuss für einen vom Kunden verwalteten Schlüssel, indem dem Amazon Bedrock Service Principal über [Grant-Operationen Zugriff auf den angegebenen KMS-Schlüssel gewährt](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) wird. Weitere Informationen zu Erteilungen finden Sie unter [Erteilungen in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) im [Entwicklerhandbuch zu AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/).
**Anmerkung**
Amazon Bedrock richtet außerdem einen Prinzipal für Außerbetriebnahmen ein und zieht die Erteilung automatisch zurück, wenn sie nicht mehr benötigt wird.
1. [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — Stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit Amazon Bedrock den Schlüssel validieren kann.
1. [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Stellt dem Kunden verwaltete Schlüsselinformationen zur Verfügung, damit Amazon Bedrock den Benutzerzugriff validieren kann. Amazon Bedrock speichert generierten Geheimtext zusammen mit dem benutzerdefinierten Modell, um ihn als zusätzliche Validierungsprüfung für Benutzer des benutzerdefinierten Modells zu verwenden.
1. [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html): Entschlüsselt den gespeicherten Geheimtext, um zu überprüfen, ob die Rolle ordnungsgemäßen Zugriff auf den KMS-Schlüssel hat, der das benutzerdefinierte Modell verschlüsselt.
Als bewährte Sicherheitsmethode empfehlen wir, dass Sie den ViaService Bedingungsschlüssel [kms: angeben](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service), um den Zugriff auf den Schlüssel für den Amazon Bedrock-Service einzuschränken.
Sie können einem Schlüssel zwar nur eine Schlüsselrichtlinie zuordnen, Sie können jedoch mehrere Anweisungen an die Schlüsselrichtlinie anhängen, indem Sie der Liste im Feld `Statement` der Richtlinie Anweisungen hinzufügen.
Die folgenden Anweisungen sind für die Verschlüsselung von benutzerdefinierten und kopierten Modellen relevant:
### Ein Modell verschlüsseln
Wenn Sie Ihren kundenseitig verwalteten Schlüssel zum Verschlüsseln eines benutzerdefinierten oder kopierten Modells verwenden möchten, nehmen Sie die folgende Anweisung in eine Schlüsselrichtlinie auf, um die Verschlüsselung eines Modells zu ermöglichen. Fügen Sie im Feld `Principal` Konten, denen Sie das Ver- und Entschlüsseln des Schlüssels erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist. Wenn Sie den `kms:ViaService` Bedingungsschlüssel verwenden, können Sie eine Zeile für jede Region hinzufügen oder stattdessen verwenden*\$1*, *\$1\$1region\$1* um alle Regionen zuzulassen, die Amazon Bedrock unterstützen.
```
{
"Sid": "PermissionsEncryptDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::${account-id}:role/${role}"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.${region}.amazonaws.com"
]
}
}
}
```
### Zugriff auf ein verschlüsseltes Modell gewähren
Um den Zugriff auf ein Modell zu ermöglichen, das mit einem KMS-Schlüssel verschlüsselt wurde, nehmen Sie die folgende Anweisung in eine Schlüsselrichtlinie auf, um die Entschlüsselung des Schlüssels zu ermöglichen. Fügen Sie im Feld `Principal` Konten, denen Sie das Entschlüsseln des Schlüssels erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist. Wenn Sie den `kms:ViaService` Bedingungsschlüssel verwenden, können Sie eine Zeile für jede Region hinzufügen oder stattdessen verwenden*\$1*, *\$1\$1region\$1* um alle Regionen zuzulassen, die Amazon Bedrock unterstützen.
```
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::${account-id}:role/${role}"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.${region}.amazonaws.com"
]
}
}
}
```
Um mehr über die Schlüsselrichtlinien zu erfahren, die Sie erstellen müssen, erweitern Sie den Abschnitt, der Ihrem Anwendungsfall entspricht:
### Schlüsselberechtigungen für die Verschlüsselung benutzerdefinierter Modelle einrichten
Wenn Sie vorhaben, ein Modell zu verschlüsseln, das Sie mit einem KMS-Schlüssel anpassen, hängt die Schlüsselrichtlinie für den Schlüssel von Ihrem Anwendungsfall ab. Erweitern Sie den Abschnitt, der Ihrem Anwendungsfall entspricht:
#### Die Rollen, mit denen das Modell angepasst wird, und die Rollen, mit denen das Modell aufgerufen wird, sind identisch
Wenn die Rollen, die das benutzerdefinierte Modell aufrufen, dieselben sind wie die Rollen, mit denen das Modell angepasst wird, benötigen Sie nur die Anweisung von [Ein Modell verschlüsseln](#encryption-key-policy-encrypt). Fügen Sie im Feld `Principal` der folgenden Richtlinienvorlage Konten, denen Sie das Anpassen und Aufrufen des benutzerdefinierten Modells erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCustomModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCustomModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
#### Die Rollen, mit denen das Modell angepasst wird, und die Rollen, mit denen das Modell aufgerufen wird, sind unterschiedlich
Wenn sich die Rollen, die das benutzerdefinierte Modell aufrufen, von der Rolle unterscheiden, mit der das Modell angepasst wird, benötigen Sie sowohl die Anweisung von [Ein Modell verschlüsseln](#encryption-key-policy-encrypt) als auch von [Zugriff auf ein verschlüsseltes Modell gewähren](#encryption-key-policy-decrypt). Ändern Sie die Anweisungen in der folgenden Richtlinienvorlage wie folgt:
1. Die erste Anweisung ermöglicht die Ver- und Entschlüsselung des Schlüssels. Fügen Sie im Feld `Principal` Konten, denen Sie das Anpassen des benutzerdefinierten Modells erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist.
1. Die zweite Anweisung erlaubt nur die Entschlüsselung des Schlüssels. Fügen Sie im Feld `Principal` Konten, denen Sie nur das Aufrufen des benutzerdefinierten Modells erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCustomModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCustomModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
},
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
### Schlüsselberechtigungen zum Kopieren benutzerdefinierter Modelle einrichten
Wenn Sie ein Modell kopieren, das Ihnen gehört oder mit Ihnen geteilt wurde, müssen Sie möglicherweise bis zu zwei Schlüsselrichtlinien verwalten:
#### Schlüsselrichtlinie für den Schlüssel, mit dem ein kopiertes Modell verschlüsselt wird
Wenn Sie vorhaben, ein kopiertes Modell mit einem KMS-Schlüssel zu verschlüsseln, hängt die Schlüsselrichtlinie für den Schlüssel von Ihrem Anwendungsfall ab. Erweitern Sie den Abschnitt, der Ihrem Anwendungsfall entspricht:
##### Die Rollen, mit denen das Modell kopiert wird, und die Rollen, mit denen das Modell aufgerufen wird, sind identisch
Wenn die Rollen, die das kopierte Modell aufrufen, dieselben sind wie die Rollen, mit denen die Modellkopie erstellt wird, benötigen Sie nur die Anweisung von [Ein Modell verschlüsseln](#encryption-key-policy-encrypt). Fügen Sie im Feld `Principal` der folgenden Richtlinienvorlage Konten, denen Sie das Kopieren und Aufrufen des kopierten Modells erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCopiedModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
##### Die Rollen, mit denen das Modell kopiert wird, und die Rollen, mit denen das Modell aufgerufen wird, sind unterschiedlich
Wenn sich die Rollen, die das kopierte Modell aufrufen, von der Rolle unterscheiden, mit der die Modellkopie erstellt wird, benötigen Sie sowohl die Anweisung von [Ein Modell verschlüsseln](#encryption-key-policy-encrypt) als auch von [Zugriff auf ein verschlüsseltes Modell gewähren](#encryption-key-policy-decrypt). Ändern Sie die Anweisungen in der folgenden Richtlinienvorlage wie folgt:
1. Die erste Anweisung ermöglicht die Ver- und Entschlüsselung des Schlüssels. Fügen Sie im Feld `Principal` Konten, denen Sie das Erstellen des kopierten Modells erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist.
1. Die zweite Anweisung erlaubt nur die Entschlüsselung des Schlüssels. Fügen Sie im Feld `Principal` Konten, denen Sie nur das Aufrufen des kopierten Modells erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCopiedModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
},
{
"Sid": "PermissionsDecryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
#### Schlüsselrichtlinie für den Schlüssel, der das zu kopierende Quellmodell verschlüsselt
Wenn das Quellmodell, das Sie kopieren möchten, mit einem KMS-Schlüssel verschlüsselt ist, fügen Sie die Anweisung von [Zugriff auf ein verschlüsseltes Modell gewähren](#encryption-key-policy-decrypt) an die Schlüsselrichtlinie für den Schlüssel an, der das Quellmodell verschlüsselt. Diese Anweisung ermöglicht es der Modellkopie-Rolle, den Schlüssel zu entschlüsseln, mit dem das Quellmodell verschlüsselt ist. Fügen Sie im Feld `Principal` der folgenden Richtlinienvorlage Konten, denen Sie das Kopieren des Quellmodells erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsSourceModelKey",
"Statement": [
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Ihre Verschlüsselungsschlüssel für den Amazon-Bedrock-Service überwachen
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren Amazon Bedrock-Ressourcen verwenden, können Sie [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) verwenden [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), um Anfragen zu verfolgen, an die Amazon Bedrock sendet. AWS KMS
Im Folgenden finden Sie ein AWS CloudTrail Beispielereignis [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)zur Überwachung von KMS-Vorgängen, das von Amazon Bedrock aufgerufen wurde, um einen primären Zuschuss zu erstellen:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForModelCopy/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForModelCopy",
"accountId": "111122223333",
"userName": "RoleForModelCopy"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Verschlüsselung von Trainings-, Validierungs- und Ausgabedaten
Wenn Sie Amazon Bedrock verwenden, um einen Modellanpassungsauftrag auszuführen, speichern Sie die Eingabedateien in Ihrem Amazon-S3-Bucket. Wenn der Job abgeschlossen ist, speichert Amazon Bedrock die Ausgabe-Metrikdateien in dem S3-Bucket, den Sie bei der Erstellung des Jobs angegeben haben, und die resultierenden benutzerdefinierten Modellartefakte in einem S3-Bucket, der von gesteuert wird. AWS
Die Ausgabedateien werden mit den Verschlüsselungskonfigurationen des S3-Buckets verschlüsselt. Diese werden entweder mit [serverseitiger SSE-S3-Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) oder mit [AWS KMS-SSE-Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) verschlüsselt, je nachdem, wie Sie den S3-Bucket eingerichtet haben.
# Verschlüsselung importierter benutzerdefinierter Modelle
Amazon Bedrock unterstützt die Erstellung benutzerdefinierter Modelle mit zwei Methoden, die denselben Verschlüsselungsansatz verwenden. Ihre benutzerdefinierten Modelle werden verwaltet und gespeichert vonAWS:
+ **Importaufträge für benutzerdefinierte Modelle**: Für den Import von benutzerdefinierten Open-Source-Basismodellen (wie Mistral AI- oder Llama-Modellen).
+ **Benutzerdefiniertes Modell erstellen** — Für den Import von Amazon Nova-Modellen, die Sie in SageMaker AI angepasst haben.
Für die Verschlüsselung Ihrer benutzerdefinierten Modelle bietet Amazon Bedrock die folgenden Optionen:
+ **AWSeigene Schlüssel** — Standardmäßig verschlüsselt Amazon Bedrock importierte benutzerdefinierte Modelle mit AWS eigenen Schlüsseln. Sie können AWS eigene Schlüssel nicht anzeigen, verwalten oder verwenden oder deren Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter [AWS-eigene Schlüssel](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#aws-owned-cmk) im *Entwicklerhandbuch zum AWS-Schlüsselverwaltungsdienst*.
+ **Vom Kunden verwaltete Schlüssel (CMK)** — Sie können wählen, ob Sie eine zweite Verschlüsselungsebene über den vorhandenen AWS eigenen Verschlüsselungsschlüsseln hinzufügen möchten, indem Sie einen vom Kunden verwalteten Schlüssel (CMK) wählen. Sie erstellen, besitzen und verwalten kundenseitig verwaltete Schlüssel selbst.
Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie darin die folgenden Aufgaben ausführen:
+ Schlüsselrichtlinien festlegen und erhalten
+ IAM-Richtlinien und Erteilungen festlegen und erhalten
+ Schlüsselrichtlinien aktivieren und deaktivieren
+ Kryptographisches Schlüsselmaterial rotieren
+ Hinzufügen von Tags
+ Schlüsselaliase erstellen
+ Die Löschung von Schlüsseln planen
Weitere Informationen finden Sie unter [Kundenseitig verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) im *Entwicklerhandbuch zu AWS Key Management Service*.
**Anmerkung**
Für alle benutzerdefinierten Modelle, die Sie importieren, aktiviert Amazon Bedrock automatisch die Verschlüsselung im Ruhezustand mithilfe AWS eigener Schlüssel, um Kundendaten kostenlos zu schützen. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, AWS KMS fallen Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter [AWS Key Management Service – Preise](https://docs.aws.amazon.com/).
## So verwendet Amazon Bedrock Zuschüsse in AWS KMS
Wenn Sie einen kundenseitig verwalteten Schlüssel angeben, um das importierte Modell zu verschlüsseln, Amazon Bedrock erstellt in Ihrem Namen einen **primären AWS KMS** [Zuschuss](https://docs.aws.amazon.com/) für das importierte Modell, indem es eine [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)Anfrage an AWS KMS sendet. Diese Erteilung ermöglicht Amazon Bedrock den Zugriff auf Ihren kundenseitig verwalteten Schlüssel und dessen Verwendung. Grants in AWS KMS werden verwendet, um Amazon Bedrock Zugriff auf einen KMS-Schlüssel im Konto eines Kunden zu gewähren.
Amazon Bedrock benötigt die primäre Erteilung, um Ihren kundenseitig verwalteten Schlüssel für die folgenden internen Vorgänge zu verwenden:
+ Senden Sie [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Anfragen, um AWS KMS zu überprüfen, ob die symmetrische, kundenverwaltete KMS-Schlüssel-ID, die Sie bei der Erstellung des Auftrags eingegeben haben, gültig ist.
+ Senden [GenerateDataKey](https://docs.aws.amazon.com//kms/latest/APIReference/API_GenerateDataKey.html)und [Entschlüsseln](https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html) von Anfragen AWS KMS zur Generierung von Datenschlüsseln, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden, und zur Entschlüsselung der verschlüsselten Datenschlüssel, sodass sie zur Verschlüsselung der Modellartefakte verwendet werden können.
+ Senden Sie [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)Anfragen an, AWS KMS um sekundäre Zuschüsse mit begrenztem Geltungsbereich mit einer Teilmenge der oben genannten Operationen (`DescribeKey`,`GenerateDataKey`,`Decrypt`) für die asynchrone Ausführung von Modellimporten und für On-Demand-Inferenzen zu erstellen.
+ Amazon Bedrock legt bei der Erstellung von Zuschüssen einen Schulleiter fest, der in den Ruhestand geht, sodass der Service eine [RetireGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_RetireGrant.html)Anfrage senden kann.
Sie haben vollen Zugriff auf Ihren vom Kunden verwalteten AWS KMS Schlüssel. Sie können den Zugriff auf die Erteilung jederzeit widerrufen, indem Sie die Schritte unter [Zurückziehen und Widerrufen von Erteilungen](https://docs.aws.amazon.com//kms/latest/developerguide/grant-manage.html#grant-delete) im *Entwicklerhandbuch zu AWS Key Management Service* befolgen, oder den Zugriff des Dienstes auf Ihren kundenseitig verwalteten Schlüssel entfernen, indem Sie die Schlüsselrichtlinie ändern. Dadurch kann Amazon Bedrock nicht mehr auf das mit Ihrem Schlüssel verschlüsselte importierte Modell zugreifen.
### Lebenszyklus von primären und sekundären Erteilungen für benutzerdefinierte importierte Modelle
+ **Primäre Erteilungen** haben eine lange Laufzeit und bleiben aktiv, solange die zugehörigen benutzerdefinierten Modelle noch verwendet werden. Wenn ein benutzerdefiniertes importiertes Modell gelöscht wird, wird die entsprechende primäre Erteilung automatisch zurückgezogen.
+ **Sekundäre Erteilungen** sind kurzlebig. Sie werden automatisch zurückgezogen, sobald der Vorgang, den Amazon Bedrock im Namen der Kunden durchführt, abgeschlossen ist. Sobald beispielsweise ein Auftrag zum Importieren eines benutzerdefinierten Modells abgeschlossen ist, wird die sekundäre Erteilung, die es Amazon Bedrock ermöglichte, das benutzerdefinierte importierte Modell zu verschlüsseln, zurückgezogen.
# So verwenden Sie den kundenseitig verwalteten Schlüssel (CMK)
Wenn Sie planen, Ihr benutzerdefiniertes importiertes Modell mit einem kundenseitig verwalteten Schlüssel zu verschlüsseln, gehen Sie wie folgt vor:
1. Erstellen Sie einen kundenseitig verwalteten Schlüssel mit AWS Key Management Service.
1. Fügen Sie eine [ressourcenbasierte Richtlinie](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html) mit Berechtigungen für die angegebenen Rollen an, um benutzerdefinierte importierte Modelle zu erstellen und zu verwenden.
**Einen kundenseitig verwalteten Schlüssel erstellen**
Stellen Sie sicher, dass Sie `CreateKey`-Berechtigungen haben. Folgen Sie dann den Schritten unter [Schlüssel erstellen](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html), um vom Kunden verwaltete Schlüssel entweder in der AWS KMS Konsole oder im [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API-Vorgang zu erstellen. Stellen Sie sicher, dass Sie einen symmetrischen Verschlüsselungsschlüssel erstellen.
Bei der Erstellung des Schlüssels wird ein `Arn` für den Schlüssel zurückgegeben, den Sie beim Import eines benutzerdefinierten Modells mit benutzerdefiniertem Modellimport als `importedModelKmsKeyId ` verwenden können.
**Erstellen einer Schlüsselrichtlinie und Anfügen an den kundenseitig verwalteten Schlüssel**
Bei Schlüsselrichtlinien handelt es sich um [ressourcenbasierte Richtlinien](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html), die Sie Ihrem kundenseitig verwalteten Schlüssel zuordnen, um den Zugriff darauf zu kontrollieren. Jeder kundenseitig verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren kundenseitig verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Sie können die Schlüsselrichtlinie jederzeit ändern, es kann jedoch eine Weile dauern, bis die Änderung in allen Bereichen von AWS KMS verfügbar wird. Weitere Informationen finden Sie unter [Verwalten des Zugriffs auf kundenseitig verwaltete Schlüssel](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#managing-access) im *Entwicklerhandbuch zum AWS Key Management Service*.
**So verschlüsseln Sie ein importiertes benutzerdefiniertes Modell**
Um Ihren vom Kunden verwalteten Schlüssel zur Verschlüsselung eines importierten benutzerdefinierten Modells zu verwenden, müssen Sie die folgenden AWS KMS Vorgänge in die Schlüsselrichtlinie aufnehmen:
+ [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) — erstellt einen Zuschuss für einen vom Kunden verwalteten Schlüssel, indem dem Amazon Bedrock-Serviceprinzipal über [Grant-Operationen Zugriff auf den angegebenen KMS-Schlüssel gewährt](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) wird. Weitere Informationen zum Einsatz von Erteilungen finden Sie unter [Erteilungen in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) im *Entwicklerhandbuch zum AWS-Key-Management-Service*.
**Anmerkung**
Amazon Bedrock richtet außerdem einen Prinzipal für Außerbetriebnahmen ein und zieht die Erteilung automatisch zurück, wenn sie nicht mehr benötigt wird.
+ [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit Amazon Bedrock den Schlüssel validieren kann.
+ [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Stellt dem Kunden verwaltete Schlüsselinformationen zur Verfügung, damit Amazon Bedrock den Benutzerzugriff validieren kann. Amazon Bedrock speichert generierten Geheimtext zusammen mit dem benutzerdefinierten Modell, um ihn als zusätzliche Validierungsprüfung für Benutzer des importierten benutzerdefinierten Modells zu verwenden.
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) – Entschlüsselt den gespeicherten Geheimtext, um zu überprüfen, ob die Rolle ordnungsgemäßen Zugriff auf den KMS-Schlüssel hat, der das importierte benutzerdefinierte Modell verschlüsselt.
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die Sie an einen Schlüssel für eine Rolle anhängen können, mit der Sie importierte Modelle verschlüsseln werden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy for a key to encrypt an imported custom model",
"Statement": [
{
"Sid": "Permissions for model import API invocation role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
}
]
}
```
------
**So entschlüsseln Sie ein verschlüsseltes importiertes benutzerdefiniertes Modell**
Wenn Sie ein benutzerdefiniertes Modell importieren, das bereits mit einem anderen kundenseitig verwalteten Schlüssel verschlüsselt wurde, müssen Sie gemäß der folgenden Richtlinie `kms:Decrypt`-Berechtigungen für dieselbe Rolle hinzufügen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy for a key that encrypted a custom imported model",
"Statement": [
{
"Sid": "Permissions for model import API invocation role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
# So überwachen Sie Ihre Verschlüsselungsschlüssel für den Amazon-Bedrock-Service
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren Amazon Bedrock-Ressourcen verwenden, können Sie [Amazon CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) verwenden [AWS CloudTrail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-user-guide.html), um Anfragen zu verfolgen, an die Amazon Bedrock sendet. AWS KMS
Im Folgenden finden Sie ein Beispiel für eine AWS CloudTrail Veranstaltung [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)zur Überwachung von AWS KMS Vorgängen, die von Amazon Bedrock aufgerufen wurden, um einen primären Zuschuss zu erhalten:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForModelImport/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForModelImport",
"accountId": "111122223333",
"userName": "RoleForModelImport"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
Fügen Sie die folgende ressourcenbasierte Richtlinie dem KMS-Schlüssel hinzu, indem Sie den Schritten unter [Erstellen einer Richtlinie](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-overview.html) folgen. Die Richtlinie enthält zwei Anweisungen.
1. Berechtigungen für eine Rolle zur Verschlüsselung von Artefakten zur Modellanpassung. Fügen Sie dem `Principal` Feld ARNs eine der importierten Rollen für den benutzerdefinierten Model Builder hinzu.
1. Berechtigungen für eine Rolle zur Verwendung des importierten benutzerdefinierten Modells in der Inferenz. Hinzufügen ARNs importierter Benutzerrollen für benutzerdefinierte Modelle zum `Principal` Feld.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS Key Policy",
"Statement": [
{
"Sid": "Permissions for imported model builders",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Sid": "Permissions for imported model users",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/role"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
]
}
```
------
# Verschlüsselung in der Amazon Bedrock Datenautomatisierung
Amazon BedrockData Automation (BDA) verwendet Verschlüsselung, um Ihre Daten im Ruhezustand zu schützen. Dazu gehören die vom Service gespeicherten Vorlagen, Projekte und gewonnenen Erkenntnisse. BDA bietet zwei Optionen für die Verschlüsselung Ihrer Daten:
1. AWSeigene Schlüssel — Standardmäßig verschlüsselt BDA Ihre Daten mit AWS eigenen Schlüsseln. Sie können AWS eigene Schlüssel nicht einsehen, verwalten oder verwenden oder deren Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter [AWSEigene Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) im AWS Key Management Service Developer Guide.
1. Kundenseitig verwaltete Schlüssel: Sie haben die Möglichkeit, Ihre Daten mit kundenseitig verwalteten Schlüsseln zu verschlüsseln, die Sie selbst verwalten. Weitere Informationen zu AWS KMS Schlüsseln finden Sie unter [Vom Kunden verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) im AWS Key Management Service Developer Guide. BDA unterstützt kundenseitig verwaltete Schlüssel nicht für die Verwendung in der Amazon Bedrock-Konsole, sondern nur für API-Operationen.
Amazon BedrockData Automation ermöglicht automatisch und kostenlos die Verschlüsselung im Ruhezustand mithilfe AWS eigener Schlüssel. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, AWS KMS fallen Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter AWS KMS [Preise](https://aws.amazon.com/kms/pricing/).
## Wie Amazon Bedrock verwendet man Zuschüsse in AWS KMS
Wenn Sie beim Aufrufen von invokeDataAutomation Async einen vom Kunden verwalteten Schlüssel für die Verschlüsselung Ihres BDA angeben, erstellt der Service in Ihrem Namen einen Zuschuss, der Ihren Ressourcen zugeordnet ist, indem er eine CreateGrant Anfrage an AWS KMS sendet. Diese Erteilung ermöglicht BDA den Zugriff auf Ihren kundenseitig verwalteten Schlüssel und dessen Verwendung.
BDA nutzt die Erteilung, um Ihren kundenseitig verwalteten Schlüssel für die folgenden internen Vorgänge zu verwenden:
+ DescribeKey — Senden Sie Anfragen an, um AWS KMS zu überprüfen, ob die von Ihnen angegebene symmetrische, vom Kunden verwaltete AWS KMS Schlüssel-ID gültig ist.
+ GenerateDataKey und Entschlüsseln — Senden Sie Anfragen AWS KMS an die Generierung von Datenschlüsseln, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden, und zur Entschlüsselung der verschlüsselten Datenschlüssel, sodass sie zur Verschlüsselung Ihrer Ressourcen verwendet werden können.
+ CreateGrant — Senden Sie Anfragen AWS KMS zur Erstellung von zeitlich begrenzten Zuschüssen mit einer Teilmenge der oben genannten Operationen (DescribeKey, GenerateDataKey, Decrypt) für die asynchrone Ausführung von Vorgängen.
Sie haben vollen Zugriff auf Ihren vom Kunden verwalteten Schlüssel. AWS KMS Sie können den Zugriff auf die Erteilung jederzeit widerrufen, indem Sie die Schritte unter Zurückziehen und Widerrufen von Erteilungen im Entwicklerhandbuch zu AWS KMS befolgen, oder den Zugriff des Dienstes auf Ihren kundenseitig verwalteten Schlüssel entfernen, indem Sie die Schlüsselrichtlinie ändern. Wenn Sie dies tun, kann BDA nicht auf die mit Ihrem Schlüssel verschlüsselten Ressourcen zugreifen.
Wenn Sie nach dem Widerruf eines Zuschusses einen neuen invokeDataAutomation Async-Anruf einleiten, erstellt BDA den Zuschuss neu. Die Erteilungen werden nach 30 Stunden von BDA zurückgezogen.
## Erstellen eines kundenseitig verwalteten Schlüssels und Anhängen einer Schlüsselrichtlinie
Um BDA-Ressourcen mit einem Schlüssel zu verschlüsseln, den Sie erstellen und verwalten, führen Sie die folgenden allgemeinen Schritte aus:
1. (Voraussetzung) Stellen Sie sicher, dass Ihre IAM-Rolle über die Berechtigungen für die Aktion verfügt. CreateKey
1. Folgen Sie den Schritten unter [Schlüssel erstellen](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html), um mithilfe der AWS KMS Konsole oder des CreateKey Vorgangs einen vom Kunden verwalteten Schlüssel zu erstellen.
1. Durch die Erstellung des Schlüssels wird ein ARN zurückgegeben, den Sie für Operationen verwenden können, die die Verwendung des Schlüssels erfordern (z. B. beim Erstellen eines Projekts oder Blueprints in BDA), wie z. B. die invokeDataAutomation asynchrone Operation.
1. Erstellen Sie eine Schlüsselrichtlinie und ordnen Sie sie zusammen mit den erforderlichen Berechtigungen dem Schlüssel zu. Um eine Schlüsselrichtlinie zu erstellen, folgen Sie den Schritten unter [Erstellen einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-create.html) im AWS KMS Entwicklerhandbuch.
## Berechtigungen und wichtige Richtlinien für Ressourcen zur Amazon Bedrock Datenautomatisierung
Nachdem Sie einen AWS KMS Schlüssel erstellt haben, fügen Sie ihm eine Schlüsselrichtlinie hinzu. Die folgenden AWS KMS-Aktionen werden für Schlüssel verwendet, die BDA-Ressourcen verschlüsseln:
1. kms:CreateGrant — Erzeugt einen Zuschuss für einen vom Kunden verwalteten Schlüssel, indem dem BDA-Service der Zugriff auf den angegebenen AWS KMS Schlüssel über Grant-Operationen gewährt wird, die für erforderlich sind InvokeDataAutomationAsync.
1. kms:DescribeKey — Stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit BDA den Schlüssel validieren kann.
1. kms:GenerateDataKey — Stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit BDA den Benutzerzugriff validieren kann.
1. kms:Entschlüsseln — Entschlüsselt den gespeicherten Chiffretext, um zu überprüfen, ob die Rolle ordnungsgemäßen Zugriff auf den AWS KMS Schlüssel hat, der die BDA-Ressourcen verschlüsselt.
**Schlüsselrichtlinie für Amazon Bedrock Data Automation**
Um Ihren kundenseitig verwalteten Schlüssel zur Verschlüsselung von BDA-Ressourcen zu verwenden, nehmen Sie die folgenden Anweisungen in Ihre Schlüsselrichtlinie auf und ersetzen Sie `${account-id}`, `${region}` und `${key-id}` mit Ihren spezifischen Werten:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy for a key to encrypt data for BDA resource",
"Statement": [
{
"Sid": "Permissions for encryption of data for BDA resources",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/Role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
**IAM-Rollenberechtigungen**
Die IAM-Rolle, die für die Interaktion mit BDA verwendet wurde, AWS KMS sollte über die folgenden Berechtigungen verfügen: replace `${region}``${account-id}`, und `${key-id}` mit Ihren spezifischen Werten:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Verschlüsselungskontext von Amazon Bedrock Automation
BDA verwendet bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext, wobei der Schlüssel `aws:bedrock:data-automation-customer-account-id` und der Wert Ihre AWS Konto-ID ist. Ein Beispiel für den Verschlüsselungskontext finden Sie unten.
```
"encryptionContext": {
"bedrock:data-automation-customer-account-id": "account id"
}
```
**Verwenden des Verschlüsselungskontexts für die Überwachung**
Wenn Sie einen symmetrischen, kundenseitig verwalteten Schlüssel verwenden, um Ihre Daten zu verschlüsseln, können Sie den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um zu ermitteln, wie der kundenseitig verwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in Protokollen, die von Amazon CloudWatch Logs generiert wurdenAWS CloudTrail.
**Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den kundenseitig verwalteten Schlüssel**
Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien als Bedingungen verwenden, um den Zugriff auf Ihren symmetrischen, kundenseitig verwalteten Schlüssel zu kontrollieren. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden. BDA verwendet eine Einschränkung des Verschlüsselungskontextes bei Erteilungen, um den Zugriff auf den kundenseitig verwalteten Schlüssel in Ihrem Konto oder Ihrer Region zu kontrollieren. Eine Genehmigungseinschränkung erfordert, dass durch die Genehmigung ermöglichte Vorgänge den angegebenen Verschlüsselungskontext verwenden.
Im Folgenden finden Sie Beispiele für Schlüsselrichtlinienanweisungen zur Gewährung des Zugriffs auf einen kundenseitig verwalteten Schlüssel für einen bestimmten Verschlüsselungskontext. Die Bedingung in dieser Richtlinienanweisung setzt voraus, dass die Genehmigungen eine Einschränkung des Verschlüsselungskontextes haben, die den Verschlüsselungskontext spezifiziert.
```
[
{
"Sid": "Enable DescribeKey, Decrypt, GenerateDataKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleRole"
},
"Action": ["kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:bedrock:data-automation-customer-account-id": "111122223333"
},
"StringEquals": {
"kms:GrantOperations": ["Decrypt", "DescribeKey", "GenerateDataKey"]
}
}
}
]
```
## Überwachung Ihrer Verschlüsselungsschlüssel für die Amazon Bedrock Datenautomatisierung
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren Amazon Bedrock Data Automation-Ressourcen verwenden, können Sie [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)oder verwenden, [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)um Anfragen zu verfolgen, an die Amazon Bedrock Data Automation sendetAWS KMS. Im Folgenden finden Sie ein Beispiel für ein AWS CloudTrail Ereignis [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)zur Überwachung von AWS KMS Vorgängen, die von Amazon Bedrock Data Automation aufgerufen wurden, um einen primären Zuschuss zu erhalten:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForDataAutomation/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForDataAutomation",
"accountId": "111122223333",
"userName": "RoleForDataAutomation"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"constraints": {
"encryptionContextSubset": {
"aws:bedrock:data-automation-customer-account-id": "000000000000"
}
},
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Verschlüsselung von Agentenressourcen
Die standardmäßige Verschlüsselung von Daten im Ruhezustand trägt dazu bei, den betrieblichen Aufwand und die Komplexität zu reduzieren, die mit dem Schutz vertraulicher Daten verbunden sind. Gleichzeitig können Sie damit sichere Anwendungen erstellen, die strenge Verschlüsselungsvorschriften und gesetzliche Auflagen erfüllen.
Amazon Bedrock verwendet AWS-eigene Standardschlüssel, um Agenteninformationen automatisch zu verschlüsseln. Dazu gehören Daten auf Steuerebene und Sitzungsdaten. Sie können AWS-eigene Schlüssel nicht anzeigen oder verwalten und auch nicht ihre Nutzung prüfen. Weitere Informationen finden Sie unter [AWS-eigene Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk).
Sie können diese Verschlüsselungsebene zwar nicht deaktivieren, aber Sie können wählen, ob Sie kundenseitig verwaltete Schlüssel anstelle von AWS-eigenen Schlüsseln verwenden möchten, um Agenteninformationen zu verschlüsseln. Amazon Bedrock unterstützt die Verwendung symmetrischer, kundenseitig verwalteter Schlüssel (CMK), die Sie erstellen, besitzen und verwalten können, anstatt der AWS-eigenen Standardverschlüsselung. Weitere Informationen finden Sie unter [Kundenseitig verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
**Wichtig**
Amazon Bedrock verschlüsselt die Sitzungsinformationen Ihres Agenten automatisch und kostenlos mit AWS-eigenen Schlüsseln.
Für die Verwendung eines kundenseitig verwalteten Schlüssels fallen jedoch AWS-KMS-Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter [AWS Key Management Service – Preise](https://aws.amazon.com/kms/pricing/).
Wenn Sie Ihren Agenten *vor* dem 22. Januar 2025 erstellt haben und zur Verschlüsselung von Agentenressourcen einen kundenseitig verwalteten Schlüssel verwenden möchten, folgen Sie den Anweisungen für [Verschlüsselung von Agentenressourcen für Agenten, die vor dem 22. Januar 2025 erstellt wurden](encryption-agents.md).
# Verschlüsselung von Kundendienstmitarbeiterressourcen mit kundenseitig verwalteten Schlüsseln (CMK)
Sie können jederzeit einen kundenseitig verwalteten Schlüssel erstellen und damit die Informationen eines Kundendienstmitarbeiters verschlüsseln. Verwenden Sie dazu die folgenden Informationen, die Sie bei der Erstellung des Kundendienstmitarbeiters angegeben haben.
**Anmerkung**
Die folgenden Kundendienstmitarbeiterressourcen werden nur für nach dem 22. Januar 2025 erstellte Kundendienstmitarbeiter verschlüsselt.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/bedrock/latest/userguide/cmk-agent-resources.html)
Führen Sie zum Verwenden eines kundenseitig verwalteten Schlüssels folgende Schritte aus:
1. Erstellen Sie einen kundenseitig verwalteten Schlüssel mit AWS Key Management Service.
1. Erstellen einer Schlüsselrichtlinie und Anfügen an den kundenseitig verwalteten Schlüssel
## Erstellen eines kundenseitig verwalteten Schlüssels
Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel mithilfe der AWS Management Console oder der AWS Key Management Service APIs erstellen.
Stellen Sie zunächst sicher, dass Sie über die erforderlichen `CreateKey`-Berechtigungen verfügen, und folgen Sie dann den Schritten zum [Erstellen eines symmetrischen, kundenseitig verwalteten Schlüssels](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) im *AWS Key Management Service -Entwicklerhandbuch*.
**Schlüsselrichtlinie**: Schlüsselrichtlinien steuern den Zugriff auf den kundenseitig verwalteten Schlüssel. Jeder kundenseitig verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren kundenseitig verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter [Verwalten des Zugriffs auf kundenseitig verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Wenn Sie den Kundendienstmitarbeiter nach dem 22. Januar 2025 erstellt haben und dessen Informationen mit dem kundenseitig verwalteten Schlüssel verschlüsseln möchten, stellen Sie sicher, dass der Benutzer oder die Rolle, die die API-Operationen für Kundendienstmitarbeiter aufruft, in der Schlüsselrichtlinie über die folgenden Berechtigungen verfügt:
+ [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — gibt einen eindeutigen symmetrischen Datenschlüssel zur Verwendung außerhalb von AWS KMS zurück.
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) – Entschlüsselt Geheimtext, der mit einem KMS-Schlüssel verschlüsselt wurde.
Beim Erstellen des Schlüssels wird ein `Arn`-Wert für den Schlüssel zurückgegeben, den Sie bei der Erstellung des Kundendienstmitarbeiters als `customerEncryptionKeyArn` verwenden können.
## Erstellen einer Schlüsselrichtlinie und Anfügen an den kundenseitig verwalteten Schlüssel
Wenn Sie Agentenressourcen mit einem kundenseitig verwalteten Schlüssel verschlüsseln, müssen Sie die folgenden identitäts- und ressourcenbasierten Richtlinien einrichten, damit Amazon Bedrock die Agentenressourcen in Ihrem Namen ver- und entschlüsseln kann.
**Identitätsbasierte Richtlinie**
Fügen Sie die folgende identitätsbasierte Richtlinie einer IAM-Rolle oder einem IAM-Benutzer hinzu, der berechtigt ist, Anrufe an Agenten zu tätigen APIs , die Agentenressourcen in Ihrem Namen ver- und entschlüsseln. Diese Richtlinie bestätigt, dass der Benutzer, der den API-Aufruf tätigt, über Berechtigungen verfügt. AWS KMS Sie müssen `${region}`, `${account-id}`, `${agent-id}` und `${key-id}` durch die entsprechenden Werte ersetzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptAgents",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
**Ressourcenbasierte Richtlinie**
Hängen Sie die folgende ressourcenbasierte Richtlinie *nur dann* an Ihren AWS KMS Schlüssel an, wenn Sie Aktionsgruppen erstellen, bei denen das Schema in Amazon S3 verschlüsselt ist. In anderen Anwendungsfällen müssen Sie keine ressourcenbasierte Richtlinie anhängen.
Um die folgende ressourcenbasierte Richtlinie anzuhängen, ändern Sie den Umfang der Berechtigungen nach Bedarf und ersetzen Sie `${region}`, `${account-id}`, `${agent-id}` und `${key-id}` durch die entsprechenden Werte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}"
},
{
"Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
## Ändern des kundenseitig verwalteten Schlüssels
Amazon Bedrock-Agenten unterstützen keine erneute Verschlüsselung versionierter Agenten, wenn der vom Kunden verwaltete Schlüssel, der dem *DRAFT-Agenten* zugeordnet ist, geändert wird oder wenn Sie vom vom Kunden verwalteten Schlüssel zum AWS eigenen Schlüssel wechseln. Nur die Daten für die *DRAFT*-Ressource werden mit dem neuen Schlüssel erneut verschlüsselt.
Stellen Sie sicher, dass Sie keine Berechtigungen für Schlüssel für einen versionierten Kundendienstmitarbeiter löschen oder entfernen, wenn Sie ihn für die Bereitstellung von Produktionsdaten verwenden.
Um die von einer Version verwendeten Schlüssel einzusehen und zu überprüfen, rufen Sie an [GetAgentVersion](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_GetAgentVersion.html)und überprüfen Sie die Antwort`customerEncryptionKeyArn`.
# Verschlüsseln von Agentensitzungen mit kundenseitig verwaltetem Schlüssel (CMK)
Wenn Sie Speicher für Ihren Agenten aktiviert haben und Agentensitzungen mit einem kundenseitig verwalteten Schlüssel verschlüsseln, müssen Sie die folgende Schlüsselrichtlinie und die IAM-Berechtigungen für Aufruflidentitäten konfigurieren, um Ihren kundenseitig verwalteten Schlüssel zu konfigurieren.
**Kundenseitig verwaltete CMK-Schlüsselrichtlinie**
Amazon Bedrock verwendet diese Berechtigungen, um verschlüsselte Datenschlüssel zu generieren und die generierten Schlüssel dann zur Verschlüsselung des Agentenspeichers zu verwenden. Amazon Bedrock benötigt außerdem Berechtigungen, um den generierten Datenschlüssel mit unterschiedlichen Verschlüsselungskontexten erneut zu verschlüsseln. Berechtigungen zum erneuten Verschlüsseln werden auch verwendet, wenn ein kundenseitig verwalteter Schlüssel zwischen einem anderen kundenseitig verwalteten Schlüssel oder einem serviceeigenen Schlüssel wechselt. Weitere Informationen finden Sie unter [Hierarchischer Schlüsselbund](https://docs.aws.amazon.com//database-encryption-sdk/latest/devguide/use-hierarchical-keyring.html).
Ersetzen Sie `$region`, `account-id` und `${caller-identity-role}` durch die entsprechenden Werte.
```
{
"Version": "2012-10-17",
{
"Sid": "Allow access for bedrock to enable long term memory",
"Effect": "Allow",
"Principal": {
"Service": [
"bedrock.amazonaws.com",
],
},
"Action": [
"kms:GenerateDataKeyWithoutPlainText",
"kms:ReEncrypt*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "$account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:bedrock:$region:$account-id:agent-alias/*"
}
}
"Resource": "*"
},
{
"Sid": "Allow the caller identity control plane permissions for long term memory",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}"
},
"Action": [
"kms:GenerateDataKeyWithoutPlainText",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*"
}
}
},
{
"Sid": "Allow the caller identity data plane permissions to decrypt long term memory",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*",
"kms:ViaService": "bedrock.$region.amazonaws.com"
}
}
}
}
```
**IAM-Berechtigungen zum Verschlüsseln und Entschlüsseln des Agentenspeichers**
Die folgenden IAM-Berechtigungen sind für die API der Identität zum Aufrufen von Agenten erforderlich, um den KMS-Schlüssel für Agenten mit aktiviertem Speicher zu konfigurieren. Amazon Bedrock-Agenten verwenden diese Berechtigungen, um sicherzustellen, dass die Anruferidentität über die in der oben genannten wichtigen Richtlinie genannten Berechtigungen APIs zum Verwalten, Trainieren und Bereitstellen von Modellen verfügt. Für die Agents APIs , die diese aufrufen, verwendet der Amazon Bedrock-Agent die `kms:Decrypt` Berechtigungen der Anruferidentität, um den Speicher zu entschlüsseln.
Ersetzen Sie `$region`, `account-id` und `${key-id}` durch die entsprechenden Werte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AgentsControlPlaneLongTermMemory",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKeyWithoutPlaintext",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent-alias/*"
}
}
},
{
"Sid": "AgentsDataPlaneLongTermMemory",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent-alias/*"
}
}
}
]
}
```
------
# Best Practices für vorbeugende Sicherheitsmaßnahmen für Agenten
Die folgenden bewährten Methoden für den Amazon Bedrock Service können dazu beitragen, Sicherheitsvorfälle zu verhindern:
**Verwenden Sie sichere Verbindungen**
Verwenden Sie immer verschlüsselte Verbindungen, z. B. solche, die mit `https://` beginnen, um vertrauliche Informationen bei der Übertragung zu schützen.
**Implementieren des Zugriff mit der geringsten Berechtigung auf Ressourcen**
Gewähren Sie beim Erstellen benutzerdefinierter Richtlinien für Amazon-Bedrock-Ressourcen nur die Berechtigungen, die zum Ausführen einer Aufgabe erforderlich sind. Es wird empfohlen, mit einem Mindestsatz von Berechtigungen zu beginnen und bei Bedarf zusätzliche Berechtigungen zu erteilen. Die Implementierung des Zugriffs mit der geringsten Berechtigung ist eine grundlegende Voraussetzung zum Reduzieren des Sicherheitsrisikos und der Auswirkungen, die aufgrund von Fehlern oder böswilligen Absichten entstehen könnten. Weitere Informationen finden Sie unter [Identity and Access Management für Amazon Bedrock](security-iam.md).
**Nehmen Sie keine persönlich identifizierbaren Daten in die Agentenressourcen auf, die Kundendaten enthalten.**
Beim Erstellen, Aktualisieren und Löschen von Ressourcen für Agenten (z. B. bei der Verwendung [CreateAgent](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_CreateAgent.html)) schließen Ressourcen keine personenbezogenen Daten (PII) in Feldern ein, die die Verwendung von kundenverwalteten Schlüsseln nicht unterstützen, wie z. B. Aktionsgruppennamen und Knowledgebase-Namen. Eine Liste der Felder, die die Verwendung von kundenseitig verwalteten Schlüsseln unterstützen, finden Sie unter [Verschlüsselung von Kundendienstmitarbeiterressourcen mit kundenseitig verwalteten Schlüsseln (CMK)](cmk-agent-resources.md).
# Verschlüsselung von Agentenressourcen für Agenten, die vor dem 22. Januar 2025 erstellt wurden
**Wichtig**
Wenn Sie Ihren Agenten *nach* dem 22. Januar 2025 erstellt haben, folgen Sie den Anweisungen für [Verschlüsselung von Agentenressourcen](encryption-agents-new.md).
Amazon Bedrock verschlüsselt die Sitzungsinformationen Ihres Agenten. Standardmäßig verschlüsselt Amazon Bedrock diese Daten mit einem AWS verwalteten Schlüssel. Optional können Sie die Agentenartefakte mit einem kundenseitig verwalteten Schlüssel verschlüsseln.
Weitere Informationen zu finden Sie unter AWS KMS keys Vom [Kunden verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) im *AWS Key Management ServiceEntwicklerhandbuch*.
Wenn Sie Sitzungen mit Ihrem Agenten mit einem benutzerdefinierten KMS-Schlüssel verschlüsseln, müssen Sie die folgenden identitäts- und ressourcenbasierten Richtlinien einrichten, damit Amazon Bedrock Agentenressourcen in Ihrem Namen ver- und entschlüsseln kann.
1. Fügen Sie die folgende identitätsbasierte Richtlinie einer IAM-Rolle oder einem IAM-Benutzer mit Berechtigungen für `InvokeAgent`-Aufrufe an. Diese Richtlinie bestätigt, dass der Benutzer, der einen `InvokeAgent`-Anruf tätigt, über KMS-Berechtigungen verfügt. Sie müssen *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1agent-id\$1* und *\$1\$1key-id\$1* durch die entsprechenden Werte ersetzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptDecryptAgents",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/agent-id"
}
}
}
]
}
```
------
1. Hängen Sie die folgende ressourcenbasierte Richtlinie Ihrem KMS-Schlüssel an. Ändern Sie den Geltungsbereich der Berechtigungen nach Bedarf. Sie müssen *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1agent-id\$1* und *\$1\$1key-id\$1* durch die entsprechenden Werte ersetzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRootModifyKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
},
{
"Sid": "AllowBedrockEncryptAgent",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/AgentId"
}
}
},
{
"Sid": "AllowRoleEncryptAgent",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/Role"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
},
{
"Sid": "AllowAttachmentPersistentResources",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
]
}
```
------
# Verschlüsselung von Flow-Ressourcen von Amazon Bedrock
Amazon Bedrock verschlüsselt Ihre Daten im Ruhezustand. Standardmäßig verschlüsselt Amazon Bedrock diese Daten mit einem AWS-verwalteten Schlüssel. Optional können Sie die Daten mit einem kundenseitig verwalteten Schlüssel verschlüsseln.
Weitere Informationen zu finden Sie AWS KMS keys unter Vom [Kunden verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) im *AWS Key Management ServiceEntwicklerhandbuch*.
Wenn Sie Daten mit einem benutzerdefinierten KMS-Schlüssel verschlüsseln, müssen Sie die folgenden identitäts- und ressourcenbasierten Richtlinien einrichten, damit Amazon Bedrock Daten in Ihrem Namen ver- und entschlüsseln kann.
1. Hängen Sie die folgende identitätsbasierte Richtlinie einer IAM-Rolle oder einem IAM-Benutzer mit Berechtigungen für API-Aufrufe an Amazon Bedrock Flows an. Diese Richtlinie bestätigt, dass der Benutzer, der Aufrufe an Amazon Bedrock Flows tätigt, über KMS-Berechtigungen verfügt. Sie müssen *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1flow-id\$1* und *\$1\$1key-id\$1* durch die entsprechenden Werte ersetzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptFlow",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/${flow-id}",
"kms:ViaService": "bedrock.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
1. Hängen Sie die folgende ressourcenbasierte Richtlinie Ihrem KMS-Schlüssel an. Ändern Sie den Geltungsbereich der Berechtigungen nach Bedarf. Ersetzen Sie*\$1IAM-USER/ROLE-ARN\$1*,*\$1\$1region\$1*, *\$1\$1account-id\$1**\$1\$1flow-id\$1*, und *\$1\$1key-id\$1* durch die entsprechenden Werte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRootModifyKMSId",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
},
{
"Sid": "AllowRoleUseKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/RoleName"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/FlowId",
"kms:ViaService": "bedrock.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
1. Hängen Sie bei [Flow-Ausführungen](flows-create-async.md) die folgende identitätsbasierte Richtlinie einer [Servicerolle mit Berechtigungen zum Erstellen und Verwalten von Flows](flows-permissions.md) an. Diese Richtlinie bestätigt, dass Ihre Servicerolle über AWS KMS Berechtigungen verfügt. Sie müssen *region*, *account-id*, *flow-id* und *key-id* durch die entsprechenden Werte ersetzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptionFlows",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/flow-id",
"kms:ViaService": "bedrock.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
# Verschlüsselung von Wissensdatenbankressourcen
Amazon Bedrock verschlüsselt Ressourcen, die sich auf Ihre Wissensdatenbanken beziehen. Standardmäßig verschlüsselt Amazon Bedrock diese Daten mit einem eigenen Schlüssel AWS. Optional können Sie die Modellartefakte mit einem kundenseitig verwalteten Schlüssel verschlüsseln.
Die Verschlüsselung mit einem KMS-Schlüssel kann mit den folgenden Prozessen erfolgen:
+ Vorübergehende Datenspeicherung während der Erfassung Ihrer Datenquellen
+ Weitergabe von Informationen an den OpenSearch Service, wenn Sie Amazon Bedrock die Einrichtung Ihrer Vektordatenbank überlassen
+ Abfragen einer Wissensdatenbank
Die folgenden Ressourcen, die von Ihren Wissensdatenbanken verwendet werden, können mit einem KMS-Schlüssel verschlüsselt werden. Wenn Sie sie verschlüsseln, müssen Sie Berechtigungen zum Entschlüsseln des KMS-Schlüssels hinzufügen.
+ In einem Amazon-S3-Bucket gespeicherte Datenquellen
+ Vektorspeicher von Drittanbietern
Weitere Informationen zu finden Sie AWS KMS keys unter Vom [Kunden verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) im *AWS Key Management Service Entwicklerhandbuch*.
**Anmerkung**
Wissensdatenbanken für Amazon Bedrock verwendet TLS-Verschlüsselung für die Kommunikation mit Datenquellen-Connectors und Vektorspeichern von Drittanbietern, sofern der Anbieter die TLS-Verschlüsselung bei der Übertragung zulässt und unterstützt.
**Topics**
+ [Verschlüsselung der vorübergehenden Datenspeicherung während der Datenerfassung](#encryption-kb-ingestion)
+ [Verschlüsselung von Informationen, die an Amazon OpenSearch Service weitergegeben werden](#encryption-kb-oss)
+ [Verschlüsselung von Informationen, die an Amazon S3 Vectors weitergegeben werden](#encryption-kb-s3-vector)
+ [Verschlüsselung von Wissensdatenbankabrufen](#encryption-kb-runtime)
+ [Berechtigungen zum Entschlüsseln Ihres AWS KMS Schlüssels für Ihre Datenquellen in Amazon S3](#encryption-kb-ds)
+ [Berechtigungen zum Entschlüsseln eines AWS Secrets Manager Geheimnisses für den Vektorspeicher, der Ihre Wissensdatenbank enthält](#encryption-kb-3p)
+ [Berechtigungen für Bedrock Data Automation (BDA) mit Verschlüsselung AWS KMS](#encryption-kb-bda)
## Verschlüsselung der vorübergehenden Datenspeicherung während der Datenerfassung
Wenn Sie einen Datenerfassungsauftrag für Ihre Wissensdatenbank einrichten, können Sie den Auftrag mit einem benutzerdefinierten KMS-Schlüssel verschlüsseln.
Um die Erstellung eines AWS KMS Schlüssels für die Speicherung vorübergehender Daten während der Aufnahme Ihrer Datenquelle zu ermöglichen, fügen Sie Ihrer Amazon Bedrock-Servicerolle die folgende Richtlinie bei. Ersetzen Sie die Beispielwerte durch Ihre eigene AWS Region, Konto-ID und AWS KMS Schlüssel-ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
## Verschlüsselung von Informationen, die an Amazon OpenSearch Service weitergegeben werden
Wenn Sie sich dafür entscheiden, Amazon Bedrock in Amazon OpenSearch Service einen Vector Store für Ihre Wissensdatenbank erstellen zu lassen, kann Amazon Bedrock einen von Ihnen ausgewählten KMS-Schlüssel zur Verschlüsselung an Amazon OpenSearch Service weitergeben. Weitere Informationen zur Verschlüsselung in Amazon OpenSearch Service finden Sie unter [Verschlüsselung in Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html).
## Verschlüsselung von Informationen, die an Amazon S3 Vectors weitergegeben werden
Wenn Sie sich dafür entscheiden, Amazon Bedrock in Amazon S3 Vectors einen S3-Vektor-Bucket und Vektorindex für Ihre Wissensdatenbank erstellen zu lassen, kann Amazon Bedrock einen von Ihnen ausgewählten KMS-Schlüssel zur Verschlüsselung an Amazon S3 Vectors weitergeben. Weitere Informationen zur Verschlüsselung in Amazon S3 Vectors finden Sie unter [Verschlüsselung mit Amazon S3 Vectors](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-vectors-bucket-encryption.html).
## Verschlüsselung von Wissensdatenbankabrufen
Sie können Sitzungen, in denen Sie Antworten durch Abfragen einer Wissensdatenbank generieren, mit einem KMS-Schlüssel verschlüsseln. Geben Sie dazu den ARN eines KMS-Schlüssels in das `kmsKeyArn` Feld ein, wenn [RetrieveAndGenerate](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html)Sie eine Anfrage stellen. Fügen Sie die folgende Richtlinie bei und ersetzen Sie die Beispielwerte durch Ihre eigene AWS Region, Konto-ID und AWS KMS Schlüssel-ID, damit Amazon Bedrock den Sitzungskontext verschlüsseln kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
## Berechtigungen zum Entschlüsseln Ihres AWS KMS Schlüssels für Ihre Datenquellen in Amazon S3
Sie speichern die Datenquellen für Ihre Wissensdatenbank in Ihrem Amazon-S3-Bucket. Wenn Sie diese Dokumente im Ruhezustand verschlüsseln möchten, können Sie die serverseitige Verschlüsselungsoption von Amazon S3 SSE-S3 verwenden. Mit dieser Option werden Objekte mit Serviceschlüsseln verschlüsselt, die vom Amazon-S3-Service verwaltet werden.
Weitere Informationen finden Sie unter [Schützen von Daten mit serverseitiger Verschlüsselung mit Amazon-S3-verwalteten Verschlüsselungsschlüsseln (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) im *Benutzerhandbuch von Amazon Simple Storage Service*.
Wenn Sie Ihre Datenquellen in Amazon S3 mit einem benutzerdefinierten AWS KMS Schlüssel verschlüsselt haben, fügen Sie Ihrer Amazon Bedrock-Servicerolle die folgende Richtlinie bei, damit Amazon Bedrock Ihren Schlüssel entschlüsseln kann. Ersetzen Sie die Beispielwerte durch Ihre eigene AWS Region, Konto-ID und AWS KMS Schlüssel-ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"KMS:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Berechtigungen zum Entschlüsseln eines AWS Secrets Manager Geheimnisses für den Vektorspeicher, der Ihre Wissensdatenbank enthält
Wenn der Vektorspeicher, der Ihre Wissensdatenbank enthält, mit einem AWS Secrets Manager Geheimnis konfiguriert ist, können Sie das Geheimnis mit einem benutzerdefinierten AWS KMS Schlüssel verschlüsseln, indem Sie die Schritte unter [Verschlüsselung und Entschlüsselung von Geheimnissen](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) unter befolgen. AWS Secrets Manager
Fügen Sie Ihrer Amazon-Bedrock-Servicerolle in diesem Fall die folgende Richtlinie an, damit sie Ihren Schlüssel entschlüsseln kann. Ersetzen Sie die Beispielwerte durch Ihre eigene AWS Region, Konto-ID und AWS KMS Schlüssel-ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
## Berechtigungen für Bedrock Data Automation (BDA) mit Verschlüsselung AWS KMS
Bei der Verwendung von BDA zur Verarbeitung multimodaler Inhalte mit vom Kunden verwalteten AWS KMS Schlüsseln sind zusätzliche Berechtigungen erforderlich, die über die Standardberechtigungen hinausgehen. AWS KMS
Fügen Sie Ihrer Amazon Bedrock-Servicerolle die folgende Richtlinie bei, damit BDA mit verschlüsselten Multimediadateien arbeiten kann. Ersetzen Sie die Beispielwerte durch Ihre eigene AWS Region, Konto-ID und AWS KMS Schlüssel-ID.
```
{
"Sid": "KmsPermissionStatementForBDA",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "account-id",
"kms:ViaService": "bedrock.region.amazonaws.com"
}
}
}
```
Zu den BDA-spezifischen Berechtigungen gehören `kms:DescribeKey` und `kms:CreateGrant` Aktionen, die BDA benötigt, um verschlüsselte Audio-, Video- und Bilddateien zu verarbeiten.