Berechtigungen und wichtige Richtlinien für benutzerdefinierte Amazon Nova-Modelle Richten Sie Schlüsselberechtigungen für das Verschlüsseln und Aufrufen von benutzerdefinierten Modellen ein

Verschlüsselung von Aufträgen und Artefakten zur Modellanpassung von Amazon Nova

Informationen zur Verschlüsselung Ihrer Modellanpassungsaufträge und Artefakte in Amazon Bedrock finden Sie unter Verschlüsselung von Modellanpassungsaufträgen und Artefakten.

Themen

Berechtigungen und wichtige Richtlinien für benutzerdefinierte Amazon Nova-Modelle
Richten Sie Schlüsselberechtigungen für das Verschlüsseln und Aufrufen von benutzerdefinierten Modellen ein

Berechtigungen und wichtige Richtlinien für benutzerdefinierte Amazon Nova-Modelle

Die folgenden Anweisungen sind erforderlich, um Berechtigungen für Ihren KMS-Schlüssel einzurichten.

PermissionsModelCustomization statement

Fügen Sie in dem Principal Feld der Liste, der das AWS Unterfeld zugeordnet ist DecryptGenerateDataKey, Konten hinzuDescribeKey, für die Sie die CreateGrant Operationen,, und zulassen möchten. Wenn Sie den kms:ViaService Bedingungsschlüssel verwenden, können Sie eine Zeile für jede Region hinzufügen oder stattdessen verwenden*, ${region} um alle Regionen zuzulassen, die Amazon Bedrock unterstützen.


{
    "Sid": "PermissionsModelCustomization",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::${account-id}:role/${customization-role}"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:DescribeKey",
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "bedrock.${region}.amazonaws.com"
            ] 
        }
    }
}

PermissionsModelInvocation statement

Fügen Sie in dem Principal Feld der Liste, der das AWS Unterfeld zugeordnet ist, Konten hinzu, für die Sie die GenerateDataKey Operationen Decrypt und zulassen möchten. Wenn Sie den kms:ViaService Bedingungsschlüssel verwenden, können Sie eine Zeile für jede Region hinzufügen oder stattdessen verwenden*, ${region} um alle Regionen zuzulassen, die Amazon Bedrock unterstützen.


{
    "Sid": "PermissionsModelInvocation",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::${account-id}:user/${invocation-role}"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "bedrock.${region}.amazonaws.com"
            ] 
        }
    }
}

PermissionsNovaProvisionedThroughput statement

Wenn Sie einen bereitgestellten Durchsatz für Ihr benutzerdefiniertes Amazon Nova-Modell erstellen, führt Amazon Bedrock Inferenz- und Bereitstellungsoptimierungen für das Modell durch. In diesem Prozess verwendet Amazon Bedrock denselben KMS-Schlüssel, der zur Erstellung des benutzerdefinierten Modells verwendet wurde, um das höchste Sicherheitsniveau wie das benutzerdefinierte Modell selbst aufrechtzuerhalten.


{
    "Sid": "PermissionsNovaProvisionedThroughput",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "bedrock.amazonaws.com",
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "kms:EncryptionContextKeys": "aws:bedrock:custom-model"
        }
    }
 }

Richten Sie Schlüsselberechtigungen für das Verschlüsseln und Aufrufen von benutzerdefinierten Modellen ein

Wenn Sie ein Modell verschlüsseln möchten, das Sie mit einem KMS-Schlüssel anpassen, hängt die Schlüsselrichtlinie für den Schlüssel von Ihrem Anwendungsfall ab. Erweitern Sie den Abschnitt, der Ihrem Anwendungsfall entspricht:

Wenn die Rollen, die das benutzerdefinierte Modell aufrufen, dieselben sind wie die Rollen, mit denen das Modell angepasst wird, benötigen Sie nur die PermissionsNovaProvisionedThroughput Anweisungen PermissionsModelCustomization und aus den Berechtigungsanweisungen.

Fügen Sie im Principal Feld der Liste, der das AWS Unterfeld in der Anweisung zugeordnet ist, Konten hinzu, denen Sie das benutzerdefinierte Modell anpassen und aufrufen möchten. PermissionsModelCustomization
Die PermissionsNovaProvisionedThroughput Anweisung sollte standardmäßig der Schlüsselrichtlinie bedrock.amazonaws.com als zulässiger Dienstprinzipal mit einer Bedingung hinzugefügt kms:EncryptionContextKeys werden, die verwendet wird.

Wenn sich die Rollen, die das benutzerdefinierte Modell aufrufen, von der Rolle unterscheiden, mit der das Modell angepasst wird, benötigen Sie alle drei Berechtigungsanweisungen. Ändern Sie die Anweisungen in der folgenden Richtlinienvorlage wie folgt:

Fügen Sie in dem Principal Feld Konten hinzu, denen Sie erlauben möchten, nur das benutzerdefinierte Modell an die Liste anzupassen, der das AWS Unterfeld in der PermissionsModelCustomization Anweisung zugeordnet ist.
Fügen Sie in dem Principal Feld Konten, denen Sie erlauben möchten, nur das benutzerdefinierte Modell aufzurufen, der Liste hinzu, der das AWS Unterfeld im Kontoauszug zugeordnet ist. PermissionsModelInvocation
Die PermissionsNovaProvisionedThroughput Anweisung sollte standardmäßig der Schlüsselrichtlinie hinzugefügt werden, wobei der Dienstprinzipal mit bedrock.amazonaws.com einer Bedingung, die verwendet wird, kms:EncryptionContextKeys zulässig ist.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Id": "PermissionsCustomModelKey",
    "Statement": [
        {
            "Sid": "PermissionsModelCustomization",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/customization-role"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "PermissionsModelInvocation",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/invocation-role"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "PermissionsNovaPermissionedThroughput",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "bedrock.amazonaws.com"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": "aws:bedrock:custom-model"
                }
            }
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Feinabstimmung von Amazon Nova-Modellen

Daten für die Feinabstimmung von Understanding Models vorbereiten