Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verschlüsselung benutzerdefinierter Modelle
Amazon Bedrock verwendet Ihre Trainingsdaten mit der [CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)Aktion oder mit der [Konsole](model-customization-submit.md), um ein benutzerdefiniertes Modell zu erstellen, das eine fein abgestimmte Version eines Amazon Bedrock-Grundmodells ist. Ihre benutzerdefinierten Modelle werden von verwaltet und gespeichert. AWS
Amazon Bedrock verwendet die von Ihnen bereitgestellten Feinabstimmungsdaten nur für die Optimierung eines Amazon-Bedrock-Basismodells. Amazon Bedrock verwendet Feinabstimmungsdaten nicht für andere Zwecke. Ihre Trainingsdaten werden nicht zum Trainieren der Titan-Basismodelle verwendet oder an Dritte weitergegeben. Andere Nutzungsdaten, wie Nutzungszeitstempel, protokolliertes Konto IDs und andere vom Dienst protokollierte Informationen, werden ebenfalls nicht zum Trainieren der Modelle verwendet.
Die Trainings- oder Validierungsdaten, die Sie für die Feinabstimmung angeben, werden nach Abschluss des Feinabstimmungsauftrags nicht in Amazon Bedrock gespeichert.
Beachten Sie, dass optimierte Modellen einige der Feinabstimmungsdaten wiedergeben können, während sie Abschlüsse generieren. Wenn Ihre App Feinabstimmungsdaten in keinerlei Form offenlegen sollte, empfiehlt es sich, vertrauliche Daten zuerst aus Ihren Trainingsdaten herausfiltern. Wenn Sie bereits versehentlich ein benutzerdefiniertes Modell mit vertraulichen Daten erstellt haben, können Sie dieses benutzerdefinierte Modell löschen, vertrauliche Informationen aus den Trainingsdaten herausfiltern und dann ein neues Modell erstellen.
Für die Verschlüsselung benutzerdefinierter Modelle (einschließlich kopierter Modelle) bietet Ihnen Amazon Bedrock zwei Optionen:
1. **AWS-eigene Schlüssel**— Standardmäßig verschlüsselt Amazon Bedrock benutzerdefinierte Modelle mit. AWS-eigene Schlüssel Sie können ihre Verwendung nicht einsehen, verwaltenAWS-eigene Schlüssel, verwenden oder überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter [AWS-eigene Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) im *AWS Key Management Service-Entwicklerhandbuch*.
1. **Kundenseitig verwaltete Schlüssel**: Sie haben die Möglichkeit, benutzerdefinierte Modelle mit kundenseitig verwalteten Schlüsseln zu verschlüsseln, die Sie selbst verwalten. Weitere Informationen dazu finden Sie AWS KMS keys unter Vom [Kunden verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) im *AWS Key Management ServiceEntwicklerhandbuch*.
**Anmerkung**
Amazon Bedrock aktiviert automatisch und kostenlos die Verschlüsselung AWS-eigene Schlüssel im Ruhezustand. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, AWS KMS fallen Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter [AWS Key Management Service – Preise](https://aws.amazon.com/kms/pricing/).
Weitere Informationen zu AWS KMS finden Sie im [AWS Key Management ServiceEntwicklerhandbuch](https://docs.aws.amazon.com/kms/latest/developerguide/).
**Topics**
+ [So verwendet Amazon Bedrock Zuschüsse in AWS KMS](#encryption-br-grants)
+ [Erfahren Sie, wie Sie einen kundenseitig verwalteten Schlüssel erstellen und ihm eine Schlüsselrichtlinie zuordnen](#encryption-key-policy)
+ [Berechtigungen und Schlüsselrichtlinien für benutzerdefinierte und kopierte Modelle](#encryption-cm-statements)
+ [Ihre Verschlüsselungsschlüssel für den Amazon-Bedrock-Service überwachen](#encryption-monitor-key)
+ [Verschlüsselung von Trainings-, Validierungs- und Ausgabedaten](#encryption-custom-job-data)
## So verwendet Amazon Bedrock Zuschüsse in AWS KMS
Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, um ein benutzerdefiniertes Modell für eine Modellanpassung oder einen Modellkopierauftrag zu verschlüsseln, erstellt Amazon Bedrock in Ihrem Namen einen **primären** [KMS-Zuschuss](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), der mit dem benutzerdefinierten Modell verknüpft ist, indem es eine [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfrage an sendet. AWS KMS Diese Erteilung ermöglicht Amazon Bedrock den Zugriff auf Ihren kundenseitig verwalteten Schlüssel und dessen Verwendung. Grants in AWS KMS werden verwendet, um Amazon Bedrock Zugriff auf einen KMS-Schlüssel im Konto eines Kunden zu gewähren.
Amazon Bedrock benötigt die primäre Erteilung, um Ihren kundenseitig verwalteten Schlüssel für die folgenden internen Vorgänge zu verwenden:
+ Senden Sie [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Anfragen, um AWS KMS zu überprüfen, ob die symmetrische, kundenverwaltete KMS-Schlüssel-ID, die Sie bei der Erstellung des Auftrags eingegeben haben, gültig ist.
+ Senden [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)und [Entschlüsseln](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) von Anfragen AWS KMS zur Generierung von Datenschlüsseln, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden, und zur Entschlüsselung der verschlüsselten Datenschlüssel, sodass sie zur Verschlüsselung der Modellartefakte verwendet werden können.
+ Senden Sie [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfragen an, AWS KMS um sekundäre Zuschüsse mit eingeschränktem Geltungsbereich mit einer Teilmenge der oben genannten Operationen (`DescribeKey`,, `GenerateDataKey``Decrypt`) für die asynchrone Ausführung von Modellanpassungen, Modellkopien oder die Erstellung des bereitgestellten Durchsatzes zu erstellen.
+ Amazon Bedrock legt bei der Erstellung von Zuschüssen einen Schulleiter fest, der in den Ruhestand geht, sodass der Service eine [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)Anfrage senden kann.
Sie haben vollen Zugriff auf Ihren vom Kunden verwalteten AWS KMS Schlüssel. Sie können den Zugriff auf die Erteilung jederzeit widerrufen, indem Sie die Schritte unter [Zurückziehen und Widerrufen von Erteilungen](https://docs.aws.amazon.com/kms/latest/developerguide/grant-manage.html#grant-delete) im [Entwicklerhandbuch zu AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/) befolgen, oder den Zugriff des Dienstes auf Ihren kundenseitig verwalteten Schlüssel entfernen, indem Sie die [Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) ändern. Dadurch kann Amazon Bedrock nicht mehr auf das mit Ihrem Schlüssel verschlüsselte benutzerdefinierte Modell zugreifen.
### Lebenszyklus von primären und sekundären Erteilungen für benutzerdefinierte Modelle
+ **Primäre Erteilungen** haben eine lange Laufzeit und bleiben aktiv, solange die zugehörigen benutzerdefinierten Modelle noch verwendet werden. Wenn ein benutzerdefiniertes Modell gelöscht wird, wird die entsprechende primäre Erteilung automatisch zurückgezogen.
+ **Sekundäre Erteilungen** sind kurzlebig. Sie werden automatisch zurückgezogen, sobald der Vorgang, den Amazon Bedrock im Namen der Kunden durchführt, abgeschlossen ist. Sobald beispielsweise ein Auftrag zum Kopieren eines Modells abgeschlossen ist, wird die sekundäre Erteilung, die es Amazon Bedrock ermöglichte, das kopierte benutzerdefinierte Modell zu verschlüsseln, zurückgezogen.
## Erfahren Sie, wie Sie einen kundenseitig verwalteten Schlüssel erstellen und ihm eine Schlüsselrichtlinie zuordnen
Um eine AWS Ressource mit einem von Ihnen erstellten und verwalteten Schlüssel zu verschlüsseln, führen Sie die folgenden allgemeinen Schritte aus:
1. (Voraussetzung) Stellen Sie sicher, dass Ihre IAM-Rolle über die Berechtigungen für die [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Aktion verfügt.
1. Folgen Sie den Schritten unter [Schlüssel erstellen](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html), um mithilfe der AWS KMS Konsole oder des [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgangs einen vom Kunden verwalteten Schlüssel zu erstellen.
1. Beim Erstellen des Schlüssels wird für diesen ein `Arn` zurückgegeben, den Sie für Vorgänge verwenden können, die die Verwendung des Schlüssels erfordern (z. B. beim [Senden eines Auftrags zur Modellanpassung](model-customization-submit.md) oder beim [Ausführen einer Modellinferenz](inference-invoke.md)).
1. Erstellen Sie eine Schlüsselrichtlinie und ordnen Sie sie zusammen mit den erforderlichen Berechtigungen dem Schlüssel zu. Um eine Schlüsselrichtlinie zu erstellen, folgen Sie den Schritten unter [Erstellen einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) im AWS Key Management Service Entwicklerhandbuch.
## Berechtigungen und Schlüsselrichtlinien für benutzerdefinierte und kopierte Modelle
Nachdem Sie einen KMS-Schlüssel erstellt haben, ordnen Sie ihm eine Schlüsselrichtlinie zu. Bei Schlüsselrichtlinien handelt es sich um [ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html), die Sie Ihrem kundenseitig verwalteten Schlüssel zuordnen, um den Zugriff darauf zu kontrollieren. Jeder kundenseitig verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren kundenseitig verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Sie können die Schlüsselrichtlinie jederzeit ändern, es kann jedoch eine Weile dauern, bis die Änderung in allen Bereichen von AWS KMS verfügbar wird. Weitere Informationen finden Sie unter [Verwalten des Zugriffs auf kundenseitig verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) im [Entwicklerhandbuch zum AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/).
Die folgenden KMS-[Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions) werden für Schlüssel verwendet, die benutzerdefinierte und kopierte Modelle verschlüsseln:
1. [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) — Erzeugt einen Zuschuss für einen vom Kunden verwalteten Schlüssel, indem dem Amazon Bedrock Service Principal über [Grant-Operationen Zugriff auf den angegebenen KMS-Schlüssel gewährt](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) wird. Weitere Informationen zu Erteilungen finden Sie unter [Erteilungen in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) im [Entwicklerhandbuch zu AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/).
**Anmerkung**
Amazon Bedrock richtet außerdem einen Prinzipal für Außerbetriebnahmen ein und zieht die Erteilung automatisch zurück, wenn sie nicht mehr benötigt wird.
1. [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — Stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit Amazon Bedrock den Schlüssel validieren kann.
1. [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Stellt dem Kunden verwaltete Schlüsselinformationen zur Verfügung, damit Amazon Bedrock den Benutzerzugriff validieren kann. Amazon Bedrock speichert generierten Geheimtext zusammen mit dem benutzerdefinierten Modell, um ihn als zusätzliche Validierungsprüfung für Benutzer des benutzerdefinierten Modells zu verwenden.
1. [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html): Entschlüsselt den gespeicherten Geheimtext, um zu überprüfen, ob die Rolle ordnungsgemäßen Zugriff auf den KMS-Schlüssel hat, der das benutzerdefinierte Modell verschlüsselt.
Als bewährte Sicherheitsmethode empfehlen wir, dass Sie den ViaService Bedingungsschlüssel [kms: angeben](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service), um den Zugriff auf den Schlüssel für den Amazon Bedrock-Service einzuschränken.
Sie können einem Schlüssel zwar nur eine Schlüsselrichtlinie zuordnen, Sie können jedoch mehrere Anweisungen an die Schlüsselrichtlinie anhängen, indem Sie der Liste im Feld `Statement` der Richtlinie Anweisungen hinzufügen.
Die folgenden Anweisungen sind für die Verschlüsselung von benutzerdefinierten und kopierten Modellen relevant:
### Ein Modell verschlüsseln
Wenn Sie Ihren kundenseitig verwalteten Schlüssel zum Verschlüsseln eines benutzerdefinierten oder kopierten Modells verwenden möchten, nehmen Sie die folgende Anweisung in eine Schlüsselrichtlinie auf, um die Verschlüsselung eines Modells zu ermöglichen. Fügen Sie im Feld `Principal` Konten, denen Sie das Ver- und Entschlüsseln des Schlüssels erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist. Wenn Sie den `kms:ViaService` Bedingungsschlüssel verwenden, können Sie eine Zeile für jede Region hinzufügen oder stattdessen verwenden{{\*}}, {{${region}}} um alle Regionen zuzulassen, die Amazon Bedrock unterstützen.
```
{
"Sid": "PermissionsEncryptDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{${account-id}}}:role/{{${role}}}"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.{{${region}}}.amazonaws.com"
]
}
}
}
```
### Zugriff auf ein verschlüsseltes Modell gewähren
Um den Zugriff auf ein Modell zu ermöglichen, das mit einem KMS-Schlüssel verschlüsselt wurde, nehmen Sie die folgende Anweisung in eine Schlüsselrichtlinie auf, um die Entschlüsselung des Schlüssels zu ermöglichen. Fügen Sie im Feld `Principal` Konten, denen Sie das Entschlüsseln des Schlüssels erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist. Wenn Sie den `kms:ViaService` Bedingungsschlüssel verwenden, können Sie eine Zeile für jede Region hinzufügen oder stattdessen verwenden{{\*}}, {{${region}}} um alle Regionen zuzulassen, die Amazon Bedrock unterstützen.
```
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{${account-id}}}:role/{{${role}}}"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.{{${region}}}.amazonaws.com"
]
}
}
}
```
Um mehr über die Schlüsselrichtlinien zu erfahren, die Sie erstellen müssen, erweitern Sie den Abschnitt, der Ihrem Anwendungsfall entspricht:
### Schlüsselberechtigungen für die Verschlüsselung benutzerdefinierter Modelle einrichten
Wenn Sie vorhaben, ein Modell zu verschlüsseln, das Sie mit einem KMS-Schlüssel anpassen, hängt die Schlüsselrichtlinie für den Schlüssel von Ihrem Anwendungsfall ab. Erweitern Sie den Abschnitt, der Ihrem Anwendungsfall entspricht:
#### Die Rollen, mit denen das Modell angepasst wird, und die Rollen, mit denen das Modell aufgerufen wird, sind identisch
Wenn die Rollen, die das benutzerdefinierte Modell aufrufen, dieselben sind wie die Rollen, mit denen das Modell angepasst wird, benötigen Sie nur die Anweisung von [Ein Modell verschlüsseln](#encryption-key-policy-encrypt). Fügen Sie im Feld `Principal` der folgenden Richtlinienvorlage Konten, denen Sie das Anpassen und Aufrufen des benutzerdefinierten Modells erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "{{PermissionsCustomModelKey}}",
"Statement": [
{
"Sid": "PermissionsEncryptCustomModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333}}:role/{{Role}}"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.{{us-east-1}}.amazonaws.com"
]
}
}
}
]
}
```
------
#### Die Rollen, mit denen das Modell angepasst wird, und die Rollen, mit denen das Modell aufgerufen wird, sind unterschiedlich
Wenn sich die Rollen, die das benutzerdefinierte Modell aufrufen, von der Rolle unterscheiden, mit der das Modell angepasst wird, benötigen Sie sowohl die Anweisung von [Ein Modell verschlüsseln](#encryption-key-policy-encrypt) als auch von [Zugriff auf ein verschlüsseltes Modell gewähren](#encryption-key-policy-decrypt). Ändern Sie die Anweisungen in der folgenden Richtlinienvorlage wie folgt:
1. Die erste Anweisung ermöglicht die Ver- und Entschlüsselung des Schlüssels. Fügen Sie im Feld `Principal` Konten, denen Sie das Anpassen des benutzerdefinierten Modells erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist.
1. Die zweite Anweisung erlaubt nur die Entschlüsselung des Schlüssels. Fügen Sie im Feld `Principal` Konten, denen Sie nur das Aufrufen des benutzerdefinierten Modells erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "{{PermissionsCustomModelKey}}",
"Statement": [
{
"Sid": "PermissionsEncryptCustomModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333}}:role/{{Role}}"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333}}:role/{{Role}}"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.{{us-east-1}}.amazonaws.com"
]
}
}
}
]
}
```
------
### Schlüsselberechtigungen zum Kopieren benutzerdefinierter Modelle einrichten
Wenn Sie ein Modell kopieren, das Ihnen gehört oder mit Ihnen geteilt wurde, müssen Sie möglicherweise bis zu zwei Schlüsselrichtlinien verwalten:
#### Schlüsselrichtlinie für den Schlüssel, mit dem ein kopiertes Modell verschlüsselt wird
Wenn Sie vorhaben, ein kopiertes Modell mit einem KMS-Schlüssel zu verschlüsseln, hängt die Schlüsselrichtlinie für den Schlüssel von Ihrem Anwendungsfall ab. Erweitern Sie den Abschnitt, der Ihrem Anwendungsfall entspricht:
##### Die Rollen, mit denen das Modell kopiert wird, und die Rollen, mit denen das Modell aufgerufen wird, sind identisch
Wenn die Rollen, die das kopierte Modell aufrufen, dieselben sind wie die Rollen, mit denen die Modellkopie erstellt wird, benötigen Sie nur die Anweisung von [Ein Modell verschlüsseln](#encryption-key-policy-encrypt). Fügen Sie im Feld `Principal` der folgenden Richtlinienvorlage Konten, denen Sie das Kopieren und Aufrufen des kopierten Modells erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "{{PermissionsCopiedModelKey}}",
"Statement": [
{
"Sid": "PermissionsEncryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333}}:role/{{Role}}"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.{{us-east-1}}.amazonaws.com"
]
}
}
}
]
}
```
------
##### Die Rollen, mit denen das Modell kopiert wird, und die Rollen, mit denen das Modell aufgerufen wird, sind unterschiedlich
Wenn sich die Rollen, die das kopierte Modell aufrufen, von der Rolle unterscheiden, mit der die Modellkopie erstellt wird, benötigen Sie sowohl die Anweisung von [Ein Modell verschlüsseln](#encryption-key-policy-encrypt) als auch von [Zugriff auf ein verschlüsseltes Modell gewähren](#encryption-key-policy-decrypt). Ändern Sie die Anweisungen in der folgenden Richtlinienvorlage wie folgt:
1. Die erste Anweisung ermöglicht die Ver- und Entschlüsselung des Schlüssels. Fügen Sie im Feld `Principal` Konten, denen Sie das Erstellen des kopierten Modells erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist.
1. Die zweite Anweisung erlaubt nur die Entschlüsselung des Schlüssels. Fügen Sie im Feld `Principal` Konten, denen Sie nur das Aufrufen des kopierten Modells erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "{{PermissionsCopiedModelKey}}",
"Statement": [
{
"Sid": "PermissionsEncryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333}}:role/{{Role}}"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.{{us-east-1}}.amazonaws.com"
]
}
}
},
{
"Sid": "PermissionsDecryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333}}:role/{{Role}}"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.{{us-east-1}}.amazonaws.com"
]
}
}
}
]
}
```
------
#### Schlüsselrichtlinie für den Schlüssel, der das zu kopierende Quellmodell verschlüsselt
Wenn das Quellmodell, das Sie kopieren möchten, mit einem KMS-Schlüssel verschlüsselt ist, fügen Sie die Anweisung von [Zugriff auf ein verschlüsseltes Modell gewähren](#encryption-key-policy-decrypt) an die Schlüsselrichtlinie für den Schlüssel an, der das Quellmodell verschlüsselt. Diese Anweisung ermöglicht es der Modellkopie-Rolle, den Schlüssel zu entschlüsseln, mit dem das Quellmodell verschlüsselt ist. Fügen Sie im Feld `Principal` der folgenden Richtlinienvorlage Konten, denen Sie das Kopieren des Quellmodells erlauben möchten, zu der Liste hinzu, der das `AWS`-Unterfeld zugeordnet ist:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "{{PermissionsSourceModelKey}}",
"Statement": [
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333}}:role/{{Role}}"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.{{us-east-1}}.amazonaws.com"
]
}
}
}
]
}
```
------
## Ihre Verschlüsselungsschlüssel für den Amazon-Bedrock-Service überwachen
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren Amazon Bedrock-Ressourcen verwenden, können Sie [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) verwenden [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), um Anfragen zu verfolgen, an die Amazon Bedrock sendet. AWS KMS
Im Folgenden finden Sie ein AWS CloudTrail Beispielereignis [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)zur Überwachung von KMS-Vorgängen, das von Amazon Bedrock aufgerufen wurde, um einen primären Zuschuss zu erstellen:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForModelCopy/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForModelCopy",
"accountId": "111122223333",
"userName": "RoleForModelCopy"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Verschlüsselung von Trainings-, Validierungs- und Ausgabedaten
Wenn Sie Amazon Bedrock verwenden, um einen Modellanpassungsauftrag auszuführen, speichern Sie die Eingabedateien in Ihrem Amazon-S3-Bucket. Wenn der Job abgeschlossen ist, speichert Amazon Bedrock die Ausgabe-Metrikdateien in dem S3-Bucket, den Sie bei der Erstellung des Jobs angegeben haben, und die resultierenden benutzerdefinierten Modellartefakte in einem S3-Bucket, der von gesteuert wird. AWS
Die Ausgabedateien werden mit den Verschlüsselungskonfigurationen des S3-Buckets verschlüsselt. Diese werden entweder mit [serverseitiger SSE-S3-Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) oder mit [AWS KMS-SSE-Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) verschlüsselt, je nachdem, wie Sie den S3-Bucket eingerichtet haben.