Verschlüsselung in der Amazon Bedrock Datenautomatisierung - Amazon Bedrock
Wie Amazon Bedrock verwendet man Zuschüsse in AWS KMSErstellen eines kundenseitig verwalteten Schlüssels und Anhängen einer SchlüsselrichtlinieBerechtigungen und wichtige Richtlinien für Ressourcen zur Amazon Bedrock DatenautomatisierungVerschlüsselungskontext von Amazon Bedrock AutomationÜberwachung Ihrer Verschlüsselungsschlüssel für die Amazon Bedrock Datenautomatisierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung in der Amazon Bedrock Datenautomatisierung

Amazon BedrockData Automation (BDA) verwendet Verschlüsselung, um Ihre Daten im Ruhezustand zu schützen. Dazu gehören die vom Service gespeicherten Vorlagen, Projekte und gewonnenen Erkenntnisse. BDA bietet zwei Optionen für die Verschlüsselung Ihrer Daten:

  1. AWSeigene Schlüssel — Standardmäßig verschlüsselt BDA Ihre Daten mit AWS eigenen Schlüsseln. Sie können AWS eigene Schlüssel nicht einsehen, verwalten oder verwenden oder deren Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter AWSEigene Schlüssel im AWS Key Management Service Developer Guide.

  2. Kundenseitig verwaltete Schlüssel: Sie haben die Möglichkeit, Ihre Daten mit kundenseitig verwalteten Schlüsseln zu verschlüsseln, die Sie selbst verwalten. Weitere Informationen zu AWS KMS Schlüsseln finden Sie unter Vom Kunden verwaltete Schlüssel im AWS Key Management Service Developer Guide. BDA unterstützt kundenseitig verwaltete Schlüssel nicht für die Verwendung in der Amazon Bedrock-Konsole, sondern nur für API-Operationen.

Amazon BedrockData Automation ermöglicht automatisch und kostenlos die Verschlüsselung im Ruhezustand mithilfe AWS eigener Schlüssel. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, AWS KMS fallen Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter AWS KMS Preise.

Wie Amazon Bedrock verwendet man Zuschüsse in AWS KMS

Wenn Sie beim Aufrufen von invokeDataAutomation Async einen vom Kunden verwalteten Schlüssel für die Verschlüsselung Ihres BDA angeben, erstellt der Service in Ihrem Namen einen Zuschuss, der Ihren Ressourcen zugeordnet ist, indem er eine CreateGrant Anfrage an AWS KMS sendet. Diese Erteilung ermöglicht BDA den Zugriff auf Ihren kundenseitig verwalteten Schlüssel und dessen Verwendung.

BDA nutzt die Erteilung, um Ihren kundenseitig verwalteten Schlüssel für die folgenden internen Vorgänge zu verwenden:

  • DescribeKey — Senden Sie Anfragen an, um AWS KMS zu überprüfen, ob die von Ihnen angegebene symmetrische, vom Kunden verwaltete AWS KMS Schlüssel-ID gültig ist.

  • GenerateDataKey und Entschlüsseln — Senden Sie Anfragen AWS KMS an die Generierung von Datenschlüsseln, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden, und zur Entschlüsselung der verschlüsselten Datenschlüssel, sodass sie zur Verschlüsselung Ihrer Ressourcen verwendet werden können.

  • CreateGrant — Senden Sie Anfragen AWS KMS zur Erstellung von zeitlich begrenzten Zuschüssen mit einer Teilmenge der oben genannten Operationen (DescribeKey, GenerateDataKey, Decrypt) für die asynchrone Ausführung von Vorgängen.

Sie haben vollen Zugriff auf Ihren vom Kunden verwalteten Schlüssel. AWS KMS Sie können den Zugriff auf die Erteilung jederzeit widerrufen, indem Sie die Schritte unter Zurückziehen und Widerrufen von Erteilungen im Entwicklerhandbuch zu AWS KMS befolgen, oder den Zugriff des Dienstes auf Ihren kundenseitig verwalteten Schlüssel entfernen, indem Sie die Schlüsselrichtlinie ändern. Wenn Sie dies tun, kann BDA nicht auf die mit Ihrem Schlüssel verschlüsselten Ressourcen zugreifen.

Wenn Sie nach dem Widerruf eines Zuschusses einen neuen invokeDataAutomation Async-Anruf einleiten, erstellt BDA den Zuschuss neu. Die Erteilungen werden nach 30 Stunden von BDA zurückgezogen.

Erstellen eines kundenseitig verwalteten Schlüssels und Anhängen einer Schlüsselrichtlinie

Um BDA-Ressourcen mit einem Schlüssel zu verschlüsseln, den Sie erstellen und verwalten, führen Sie die folgenden allgemeinen Schritte aus:

  1. (Voraussetzung) Stellen Sie sicher, dass Ihre IAM-Rolle über die Berechtigungen für die Aktion verfügt. CreateKey

  2. Folgen Sie den Schritten unter Schlüssel erstellen, um mithilfe der AWS KMS Konsole oder des CreateKey Vorgangs einen vom Kunden verwalteten Schlüssel zu erstellen.

  3. Durch die Erstellung des Schlüssels wird ein ARN zurückgegeben, den Sie für Operationen verwenden können, die die Verwendung des Schlüssels erfordern (z. B. beim Erstellen eines Projekts oder Blueprints in BDA), wie z. B. die invokeDataAutomation asynchrone Operation.

  4. Erstellen Sie eine Schlüsselrichtlinie und ordnen Sie sie zusammen mit den erforderlichen Berechtigungen dem Schlüssel zu. Um eine Schlüsselrichtlinie zu erstellen, folgen Sie den Schritten unter Erstellen einer Schlüsselrichtlinie im AWS KMS Entwicklerhandbuch.

Berechtigungen und wichtige Richtlinien für Ressourcen zur Amazon Bedrock Datenautomatisierung

Nachdem Sie einen AWS KMS Schlüssel erstellt haben, fügen Sie ihm eine Schlüsselrichtlinie hinzu. Die folgenden AWS KMS-Aktionen werden für Schlüssel verwendet, die BDA-Ressourcen verschlüsseln:

  1. kms:CreateGrant — Erzeugt einen Zuschuss für einen vom Kunden verwalteten Schlüssel, indem dem BDA-Service der Zugriff auf den angegebenen AWS KMS Schlüssel über Grant-Operationen gewährt wird, die für erforderlich sind InvokeDataAutomationAsync.

  2. kms:DescribeKey — Stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit BDA den Schlüssel validieren kann.

  3. kms:GenerateDataKey — Stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit BDA den Benutzerzugriff validieren kann.

  4. kms:Entschlüsseln — Entschlüsselt den gespeicherten Chiffretext, um zu überprüfen, ob die Rolle ordnungsgemäßen Zugriff auf den AWS KMS Schlüssel hat, der die BDA-Ressourcen verschlüsselt.

Schlüsselrichtlinie für Amazon Bedrock Data Automation

Um Ihren kundenseitig verwalteten Schlüssel zur Verschlüsselung von BDA-Ressourcen zu verwenden, nehmen Sie die folgenden Anweisungen in Ihre Schlüsselrichtlinie auf und ersetzen Sie ${account-id}, ${region} und ${key-id} mit Ihren spezifischen Werten:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "KMS key policy for a key to encrypt data for BDA resource",
    "Statement": [
        {
            "Sid": "Permissions for encryption of data for BDA resources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/Role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

IAM-Rollenberechtigungen

Die IAM-Rolle, die für die Interaktion mit BDA verwendet wurde, AWS KMS sollte über die folgenden Berechtigungen verfügen: replace ${region}${account-id}, und ${key-id} mit Ihren spezifischen Werten:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Verschlüsselungskontext von Amazon Bedrock Automation

BDA verwendet bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext, wobei der Schlüssel aws:bedrock:data-automation-customer-account-id und der Wert Ihre AWS Konto-ID ist. Ein Beispiel für den Verschlüsselungskontext finden Sie unten.


"encryptionContext": {
     "bedrock:data-automation-customer-account-id": "account id"
}
Verwenden des Verschlüsselungskontexts für die Überwachung

Wenn Sie einen symmetrischen, kundenseitig verwalteten Schlüssel verwenden, um Ihre Daten zu verschlüsseln, können Sie den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um zu ermitteln, wie der kundenseitig verwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in Protokollen, die von Amazon CloudWatch Logs generiert wurdenAWS CloudTrail.

Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den kundenseitig verwalteten Schlüssel

Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien als Bedingungen verwenden, um den Zugriff auf Ihren symmetrischen, kundenseitig verwalteten Schlüssel zu kontrollieren. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden. BDA verwendet eine Einschränkung des Verschlüsselungskontextes bei Erteilungen, um den Zugriff auf den kundenseitig verwalteten Schlüssel in Ihrem Konto oder Ihrer Region zu kontrollieren. Eine Genehmigungseinschränkung erfordert, dass durch die Genehmigung ermöglichte Vorgänge den angegebenen Verschlüsselungskontext verwenden.

Im Folgenden finden Sie Beispiele für Schlüsselrichtlinienanweisungen zur Gewährung des Zugriffs auf einen kundenseitig verwalteten Schlüssel für einen bestimmten Verschlüsselungskontext. Die Bedingung in dieser Richtlinienanweisung setzt voraus, dass die Genehmigungen eine Einschränkung des Verschlüsselungskontextes haben, die den Verschlüsselungskontext spezifiziert.


[
    {
        "Sid": "Enable DescribeKey, Decrypt, GenerateDataKey",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
        },
        "Action": ["kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey"],
        "Resource": "*"
    },
    {
        "Sid": "Enable CreateGrant",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
        },
        "Action": "kms:CreateGrant",
        "Resource": "*",
        "Condition": {
            "StringLike": {
                "kms:EncryptionContext:aws:bedrock:data-automation-customer-account-id": "111122223333"
            },
            "StringEquals": {
                "kms:GrantOperations": ["Decrypt", "DescribeKey", "GenerateDataKey"]
            }
        }
    }
]

Überwachung Ihrer Verschlüsselungsschlüssel für die Amazon Bedrock Datenautomatisierung

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren Amazon Bedrock Data Automation-Ressourcen verwenden, können Sie AWS CloudTrailoder verwenden, Amazon CloudWatchum Anfragen zu verfolgen, an die Amazon Bedrock Data Automation sendetAWS KMS. Im Folgenden finden Sie ein Beispiel für ein AWS CloudTrail Ereignis CreateGrantzur Überwachung von AWS KMS Vorgängen, die von Amazon Bedrock Data Automation aufgerufen wurden, um einen primären Zuschuss zu erhalten: 

{
    "eventVersion": "1.09",
        "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/RoleForDataAutomation/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE",
        "sessionContext": {
        "sessionIssuer": {
        "type": "Role",
        "principalId": "AROAIGDTESTANDEXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/RoleForDataAutomation",
        "accountId": "111122223333",
        "userName": "RoleForDataAutomation"
        },
        "attributes": {
        "creationDate": "2024-05-07T21:46:28Z",
        "mfaAuthenticated": "false"
    }
    },
    "invokedBy": "bedrock.amazonaws.com"
    },
    "eventTime": "2024-05-07T21:49:44Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "bedrock.amazonaws.com",
    "userAgent": "bedrock.amazonaws.com",
    "requestParameters": {
    "granteePrincipal": "bedrock.amazonaws.com",
    "retiringPrincipal": "bedrock.amazonaws.com",
    "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
     "constraints": {
            "encryptionContextSubset": {
                "aws:bedrock:data-automation-customer-account-id": "000000000000"
            }
        },
    "operations": [
    "Decrypt",
    "CreateGrant",
    "GenerateDataKey",
    "DescribeKey"
    ]
    },
    "responseElements": {
    "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
    "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
    {
    "accountId": "111122223333",
    "type": "AWS::KMS::Key",
    "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}