Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Key Management ServiceUnterstützung bei Modellevaluierungsjobs
Amazon Bedrock verwendet das folgende IAM und die folgenden AWS KMS Berechtigungen, um Ihren AWS KMS Schlüssel zum Entschlüsseln Ihrer Dateien und zum Zugriff darauf zu verwenden. Es speichert diese Dateien an einem internen Amazon-S3-Speicherort, der von Amazon Bedrock verwaltet wird, und verwendet die folgenden Berechtigungen, um sie zu verschlüsseln.
Anforderungen an die IAM-Richtlinie
Die IAM-Richtlinie, die mit der IAM-Rolle verknüpft ist, die Sie verwenden, um Anforderungen an Amazon Bedrock zu stellen, muss die folgenden Elemente enthalten. Weitere Informationen zur Verwaltung Ihrer AWS KMS-Schlüssel finden Sie unter Verwenden von IAM-Richtlinien mit AWS Key Management Service.
Modellevaluierungsjobs in Amazon Bedrock verwenden AWS eigene Schlüssel. Diese KMS-Schlüssel gehören Amazon Bedrock. Weitere Informationen zu AWS eigenen Schlüsseln finden Sie unter AWSEigene Schlüssel im AWS Key Management ServiceEntwicklerhandbuch.
Erforderliche IAM-Richtlinienelemente
-
kms:Decrypt— Für Dateien, die Sie mit Ihrem AWS Key Management Service Schlüssel verschlüsselt haben, gewährt Amazon Bedrock die Erlaubnis, auf diese Dateien zuzugreifen und sie zu entschlüsseln. -
kms:GenerateDataKey– Dieses Element steuert die Berechtigung zur Verwendung des AWS Key Management Service-Schlüssels zum Generieren von Datenschlüsseln. Amazon Bedrock verwendetGenerateDataKey, um die temporären Daten zu verschlüsseln, die es für den Bewertungsauftrag speichert. -
kms:DescribeKey– Dieses Element stellt detaillierte Informationen zu einem KMS-Schlüssel bereit. -
kms:ViaService— Der Bedingungsschlüssel beschränkt die Verwendung eines KMS-Schlüssels auf Anfragen von bestimmten AWS Diensten. Sie müssen Amazon S3 als Service angeben, da Amazon Bedrock eine temporäre Kopie Ihrer Daten an einem Amazon-S3-Speicherort ablegt, dessen Eigentümer es ist.
Es folgt ein Beispiel einer IAM-Richtlinie, die nur die erforderlichen AWS KMS-IAM-Aktionen und -Ressourcen enthält.
Einrichtung von KMS-Berechtigungen für Rollen, die die CreateEvaluationJob API aufrufen
Stellen Sie sicher, dass Sie über die Berechtigungen DescribeKey GenerateDataKey, und Decrypt für Ihre Rolle verfügen, mit der Sie den Evaluierungsjob für den KMS-Schlüssel erstellt haben, den Sie in Ihrem Evaluierungsjob verwenden.
Beispiel für eine KMS-Schlüsselrichtlinie
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:role/APICallingRole" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kmsDescribeKey" ], "Resource": "*" } ] }
Beispiel für eine IAM-Richtlinie für die Rollenaufruf-API CreateEvaluationJob
