Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Key Management Service Unterstützung bei Modellevaluierungsjobs
Amazon Bedrock verwendet das folgende IAM und die folgenden AWS KMS Berechtigungen, um Ihren AWS KMS Schlüssel zum Entschlüsseln Ihrer Dateien und zum Zugriff darauf zu verwenden. Es speichert diese Dateien an einem internen Amazon S3 S3-Speicherort, der von Amazon Bedrock verwaltet wird, und verwendet die folgenden Berechtigungen, um sie zu verschlüsseln.
Anforderungen an die IAM-Richtlinie
Die IAM-Richtlinie, die mit der IAM-Rolle verknüpft ist, die Sie verwenden, um Anfragen an Amazon Bedrock zu stellen, muss die folgenden Elemente enthalten. Weitere Informationen zur Verwaltung Ihrer AWS KMS Schlüssel finden Sie unter Verwenden von IAM-Richtlinien mit. AWS Key Management Service
Modellevaluierungsjobs in Amazon Bedrock verwenden AWS eigene Schlüssel. Diese KMS-Schlüssel gehören Amazon Bedrock. Weitere Informationen zu AWS eigenen Schlüsseln finden Sie unter AWS Eigene Schlüssel im AWS Key Management Service Entwicklerhandbuch.
Erforderliche IAM-Richtlinienelemente
-
kms:Decrypt— Für Dateien, die Sie mit Ihrem AWS Key Management Service Schlüssel verschlüsselt haben, gewährt Amazon Bedrock die Erlaubnis, auf diese Dateien zuzugreifen und sie zu entschlüsseln. -
kms:GenerateDataKey— Steuert die Erlaubnis, den AWS Key Management Service Schlüssel zur Generierung von Datenschlüsseln zu verwenden. Amazon Bedrock verschlüsseltGenerateDataKeydie temporären Daten, die es für den Bewertungsauftrag speichert. -
kms:DescribeKey— Stellt detaillierte Informationen zu einem KMS-Schlüssel bereit. -
kms:ViaService— Der Bedingungsschlüssel beschränkt die Verwendung eines KMS-Schlüssels auf Anfragen von bestimmten AWS Diensten. Sie müssen Amazon S3 als Service angeben, da Amazon Bedrock eine temporäre Kopie Ihrer Daten an einem Amazon S3-Standort speichert, dessen Eigentümer Amazon Bedrock ist.
Im Folgenden finden Sie ein Beispiel für eine IAM-Richtlinie, die nur die erforderlichen AWS KMS IAM-Aktionen und -Ressourcen enthält.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CustomKMSKeyProvidedToBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]" ] }, { "Sid": "CustomKMSDescribeKeyProvidedToBedrock", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]" ] } ] }
Einrichtung von KMS-Berechtigungen für Rollen, die die API aufrufen CreateEvaluationJob
Stellen Sie sicher, dass Sie über die Berechtigungen DescribeKey GenerateDataKey, und Decrypt für Ihre Rolle verfügen, mit der Sie den Evaluierungsjob für den KMS-Schlüssel erstellt haben, den Sie in Ihrem Evaluierungsjob verwenden.
Beispiel für eine KMS-Schlüsselrichtlinie
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:role/APICallingRole" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kmsDescribeKey" ], "Resource": "*" } ] }
Beispiel für eine IAM-Richtlinie für die Rollenaufruf-API CreateEvaluationJob
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CustomKMSKeyProvidedToBedrockEncryption", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:account-id:key/keyYouUse" ] } ] }
