Datenverschlüsselung für Aufträge zur Wissensdatenbankbewertung - Amazon Bedrock
Erforderliche RichtlinienelementeAnforderungen an die IAM-RichtlinieAWS KMSwichtige politische Anforderungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenverschlüsselung für Aufträge zur Wissensdatenbankbewertung

Während einer Aufgabe zur Bewertung der Wissensdatenbank erstellt Amazon Bedrock eine temporäre Kopie Ihrer Daten. Amazon Bedrock löscht die Daten, nachdem der Auftrag abgeschlossen ist. Zum Verschlüsseln der Daten verwendet Amazon Bedrock einen KMS-Schlüssel. Es nutzt entweder einen von Ihnen angegebenen KMS-Schlüssel oder einen Schlüssel, der Amazon Bedrock besitzt.

Amazon Bedrock benötigt das IAM und die AWS KMS Berechtigungen in den folgenden Abschnitten, damit es Ihren KMS-Schlüssel für folgende Zwecke verwenden kann:

  • Entschlüsseln Sie Ihre Daten.

  • Verschlüsseln Sie die temporäre Kopie, die Amazon Bedrock erstellt.

Wenn Sie einen Bewertungsauftrag für die Wissensdatenbank erstellen, können Sie wählen, ob Sie einen KMS-Schlüssel, der Amazon Bedrock gehört, oder einen eigenen kundenseitig verwalteten Schlüssel nutzen möchten. Wenn Sie keinen kundenseitig verwalteten Schlüssel angeben, verwendet Amazon Bedrock seinen Schlüssel standardmäßig.

Bevor Sie einen kundenseitig verwalteten Schlüssel verwenden können, müssen Sie die folgenden Schritte ausführen:

  • Fügen Sie die erforderlichen IAM-Aktionen und -Ressourcen zu der Richtlinie der IAM-Servicerolle hinzu.

  • Fügen Sie die erforderlichen Elemente der KMS-Schlüsselrichtlinie hinzu.

  • Erstellen Sie eine Richtlinie, die mit Ihrem kundenseitig verwalteten Schlüssel interagieren kann. Dies ist in einer separaten KMS-Schlüsselrichtlinie festgelegt.

Erforderliche Richtlinienelemente

Die IAM- und KMS-Schlüsselrichtlinien in den folgenden Abschnitten enthalten die folgenden erforderlichen Elemente:

  • kms:Decrypt – Für Dateien, die Sie mit Ihrem KMS-Schlüssel verschlüsselt haben, gewährt Amazon Bedrock Berechtigungen, um auf diese Dateien zuzugreifen und sie zu entschlüsseln.

  • kms:GenerateDataKey – Dieses Element steuert die Berechtigung zur Verwendung des KMS-Schlüssels zum Generieren von Datenschlüsseln. Amazon Bedrock verwendet GenerateDataKey, um die temporären Daten zu verschlüsseln, die es für den Bewertungsauftrag speichert.

  • kms:DescribeKey – Dieses Element stellt detaillierte Informationen zu einem KMS-Schlüssel bereit.

  • kms:ViaService— Der Bedingungsschlüssel schränkt die Verwendung eines KMS-Schlüssels für Anfragen von bestimmten AWS Diensten ein. Sie müssen die folgenden Services angeben:

    • Geben Sie Amazon S3 als Service an, da Amazon Bedrock eine temporäre Kopie Ihrer Daten an einem Amazon-S3-Speicherort ablegt, dessen Eigentümer es ist.

    • Geben Sie Amazon Bedrock an, weil der Bewertungsservice die API für Wissensdatenbanken für Amazon Bedrock aufruft, um den Wissensdatenbank-Workflow auszuführen.

  • kms:EncryptionContext:context-key— Dieser Bedingungsschlüssel beschränkt den Zugriff auf die AWS KMS Operationen, sodass sie nur für den bereitgestellten Verschlüsselungskontext spezifisch sind.

Anforderungen an die IAM-Richtlinie

In der IAM-Rolle, die Sie mit Amazon Bedrock verwenden, muss die zugehörige IAM-Richtlinie die folgenden Elemente enthalten. Weitere Informationen zur Verwaltung Ihrer AWS KMS Schlüssel finden Sie unter Verwenden von IAM-Richtlinien mit AWS KMS.

Bewertungsaufträge für Wissensdatenbanken in Amazon Bedrock verwenden AWS eigene Schlüssel. Weitere Informationen zu AWS eigenen Schlüsseln finden Sie unter AWSEigene Schlüssel im AWS Key Management ServiceEntwicklerhandbuch.

Es folgt ein Beispiel einer IAM-Richtlinie, die nur die erforderlichen AWS KMS-Aktionen und -Ressourcen enthält.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": [
                        "s3.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEvalKMS",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockKBDecryption",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:knowledgeBaseArn": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockKBEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:knowledgeBaseArn": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
                },
                "StringEquals": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockKBGenerateDataKey",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:CustomerAwsAccountId": "123456789012",
                    "kms:EncryptionContext:SessionId": "*"
                },
                "StringEquals": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CustomKMSDescribeKeyProvidedToBedrock",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ]
        }
    ]
}

AWS KMSwichtige politische Anforderungen

Jeder KMS-Schlüssel muss über genau eine Schlüsselrichtlinie verfügen. Die Anweisungen im Schlüsselrichtliniendokument legen fest, wer über eine Berechtigung zur Verwendung des KMS-Schlüssels verfügt, und wie diese Verwendung erfolgen kann. Sie können den Zugriff auf die KMS-Schlüssel auch mithilfe von IAM-Richtlinien und Erteilungen steuern, jeder KMS-Schlüssel muss jedoch über eine Schlüsselrichtlinie verfügen.

Sie müssen Ihrer vorhandenen KMS-Schlüsselrichtlinie die folgende Anweisung hinzufügen. Sie gewährt Amazon Bedrock Berechtigungen, um Ihre Daten vorübergehend in einem S3-Bucket unter Verwendung des von Ihnen angegebenen KMS-Schlüssels zu speichern.

Einrichtung von KMS-Berechtigungen für Rollen, die die CreateEvaluationJob API aufrufen

Stellen Sie sicher, dass Sie über die Berechtigungen DescribeKey GenerateDataKey, und Decrypt für Ihre Rolle verfügen, mit der Sie den Evaluierungsjob für den KMS-Schlüssel erstellt haben, den Sie in Ihrem Evaluierungsjob verwenden.

Beispiel für eine KMS-Schlüsselrichtlinie


{
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/APICallingRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kmsDescribeKey"
            ],
            "Resource": "*"
       }
   ]
}

Beispiel für eine IAM-Richtlinie für die Rollenaufruf-API CreateEvaluationJob

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/keyYouUse"
            ]
        }
    ]
}