So verwenden Sie den kundenseitig verwalteten Schlüssel (CMK) - Amazon Bedrock

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So verwenden Sie den kundenseitig verwalteten Schlüssel (CMK)

Wenn Sie planen, Ihr benutzerdefiniertes importiertes Modell mit einem kundenseitig verwalteten Schlüssel zu verschlüsseln, gehen Sie wie folgt vor:

  1. Erstellen Sie einen kundenseitig verwalteten Schlüssel mit AWS Key Management Service.

  2. Fügen Sie eine ressourcenbasierte Richtlinie mit Berechtigungen für die angegebenen Rollen an, um benutzerdefinierte importierte Modelle zu erstellen und zu verwenden.

Einen kundenseitig verwalteten Schlüssel erstellen

Stellen Sie sicher, dass Sie CreateKey-Berechtigungen haben. Folgen Sie dann den Schritten unter Schlüssel erstellen, um vom Kunden verwaltete Schlüssel entweder in der AWS KMS Konsole oder im CreateKeyAPI-Vorgang zu erstellen. Stellen Sie sicher, dass Sie einen symmetrischen Verschlüsselungsschlüssel erstellen.

Bei der Erstellung des Schlüssels wird ein Arn für den Schlüssel zurückgegeben, den Sie beim Import eines benutzerdefinierten Modells mit benutzerdefiniertem Modellimport als importedModelKmsKeyId verwenden können.

Erstellen einer Schlüsselrichtlinie und Anfügen an den kundenseitig verwalteten Schlüssel

Bei Schlüsselrichtlinien handelt es sich um ressourcenbasierte Richtlinien, die Sie Ihrem kundenseitig verwalteten Schlüssel zuordnen, um den Zugriff darauf zu kontrollieren. Jeder kundenseitig verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren kundenseitig verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Sie können die Schlüsselrichtlinie jederzeit ändern, es kann jedoch eine Weile dauern, bis die Änderung in allen Bereichen von AWS KMS verfügbar wird. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf kundenseitig verwaltete Schlüssel im Entwicklerhandbuch zum AWS Key Management Service.

So verschlüsseln Sie ein importiertes benutzerdefiniertes Modell

Um Ihren vom Kunden verwalteten Schlüssel zur Verschlüsselung eines importierten benutzerdefinierten Modells zu verwenden, müssen Sie die folgenden AWS KMS Vorgänge in die Schlüsselrichtlinie aufnehmen:

  • kms: CreateGrant — erstellt einen Zuschuss für einen vom Kunden verwalteten Schlüssel, indem dem Amazon Bedrock-Serviceprinzipal über Grant-Operationen Zugriff auf den angegebenen KMS-Schlüssel gewährt wird. Weitere Informationen zum Einsatz von Erteilungen finden Sie unter Erteilungen in AWS KMS im Entwicklerhandbuch zum AWS-Key-Management-Service.

    Anmerkung

    Amazon Bedrock richtet außerdem einen Prinzipal für Außerbetriebnahmen ein und zieht die Erteilung automatisch zurück, wenn sie nicht mehr benötigt wird.

  • kms: DescribeKey — stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit Amazon Bedrock den Schlüssel validieren kann.

  • kms: GenerateDataKey — Stellt dem Kunden verwaltete Schlüsselinformationen zur Verfügung, damit Amazon Bedrock den Benutzerzugriff validieren kann. Amazon Bedrock speichert generierten Geheimtext zusammen mit dem benutzerdefinierten Modell, um ihn als zusätzliche Validierungsprüfung für Benutzer des importierten benutzerdefinierten Modells zu verwenden.

  • kms:Decrypt – Entschlüsselt den gespeicherten Geheimtext, um zu überprüfen, ob die Rolle ordnungsgemäßen Zugriff auf den KMS-Schlüssel hat, der das importierte benutzerdefinierte Modell verschlüsselt.

Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die Sie an einen Schlüssel für eine Rolle anhängen können, mit der Sie importierte Modelle verschlüsseln werden:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "KMS key policy for a key to encrypt an imported custom model",
    "Statement": [
        {
            "Sid": "Permissions for model import API invocation role",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        }
    ]
}

So entschlüsseln Sie ein verschlüsseltes importiertes benutzerdefiniertes Modell

Wenn Sie ein benutzerdefiniertes Modell importieren, das bereits mit einem anderen kundenseitig verwalteten Schlüssel verschlüsselt wurde, müssen Sie gemäß der folgenden Richtlinie kms:Decrypt-Berechtigungen für dieselbe Rolle hinzufügen:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "KMS key policy for a key that encrypted a custom imported model",
    "Statement": [
        {
            "Sid": "Permissions for model import API invocation role",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/role"
            },
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}