Erforderliche wichtige Richtlinienelemente zur Verschlüsselung Ihres Modellevaluierungsauftrags mit AWS KMS - Amazon Bedrock
Einrichtung von KMS-Berechtigungen für Rollen, die die CreateEvaluationJob API aufrufen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erforderliche wichtige Richtlinienelemente zur Verschlüsselung Ihres Modellevaluierungsauftrags mit AWS KMS

Jeder AWS KMS Schlüssel muss genau eine Schlüsselrichtlinie haben. Die Aussagen in der Schlüsselrichtlinie legen fest, wer berechtigt ist, den AWS KMS Schlüssel zu verwenden, und wie er verwendet werden kann. Sie können auch IAM-Richtlinien und -Berechtigungen verwenden, um den Zugriff auf den AWS KMS Schlüssel zu kontrollieren, aber für jeden AWS KMS Schlüssel muss eine Schlüsselrichtlinie gelten.

Erforderliche AWS KMS wichtige politische Elemente in Amazon Bedrock

  • kms:Decrypt – Für Dateien, die Sie mit Ihrem AWS Key Management Service-Schlüssel verschlüsselt haben, gewährt Amazon Bedrock Berechtigungen, um auf diese Dateien zuzugreifen und sie zu entschlüsseln.

  • kms:GenerateDataKey – Dieses Element steuert die Berechtigung zur Verwendung des AWS Key Management Service-Schlüssels zum Generieren von Datenschlüsseln. Amazon Bedrock verwendet GenerateDataKey, um die temporären Daten zu verschlüsseln, die es für den Bewertungsauftrag speichert.

  • kms:DescribeKey – Dieses Element stellt detaillierte Informationen zu einem KMS-Schlüssel bereit.

Sie müssen die folgende Erklärung zu Ihrer bestehenden AWS KMS wichtigen Richtlinie hinzufügen. Sie gewährt Amazon Bedrock Berechtigungen, um Ihre Daten vorübergehend in einem Service-Bucket von Amazon Bedrock unter Verwendung des von Ihnen angegebenen AWS KMS zu speichern.

{
	"Effect": "Allow",
	"Principal": {
	    "Service": "bedrock.amazonaws.com"
	},
	"Action": [
	    "kms:GenerateDataKey",
	    "kms:Decrypt",
	    "kms:DescribeKey"
	],
	"Resource": "*",
	"Condition": {
	    "StringLike": {
	        "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*",
	        "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*"
	    }
	}
}

Das Folgende ist ein Beispiel für eine vollständige AWS KMS Richtlinie.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "key-consolepolicy-3",
    "Statement": [
        {
            "Sid": "EnableIAMUserPermissions",
            "Effect": "Allow",
            "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "BedrockDataKeyAndDecrypt",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*",
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
                }
            }
        },
        {
            "Sid": "BedrockDescribeKey",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
                }
            }
        }
    ]
}

Einrichtung von KMS-Berechtigungen für Rollen, die die CreateEvaluationJob API aufrufen

Stellen Sie sicher, dass Sie über die Berechtigungen DescribeKey GenerateDataKey, und Decrypt für Ihre Rolle verfügen, mit der Sie den Evaluierungsjob für den KMS-Schlüssel erstellt haben, den Sie in Ihrem Evaluierungsjob verwenden.

Beispiel für eine KMS-Schlüsselrichtlinie


{
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/APICallingRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kmsDescribeKey"
            ],
            "Resource": "*"
       }
   ]
}

Beispiel für eine IAM-Richtlinie für die Rollenaufruf-API CreateEvaluationJob

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/keyYouUse"
            ]
        }
    ]
}