Berechtigungen und Schlüsselrichtlinien für benutzerdefinierte Amazon-Nova-Modelle Schlüsselberechtigungen für die Verschlüsselung und das Aufrufen benutzerdefinierter Modelle einrichten

Verschlüsselung von Amazon-Nova-Modellanpassungsaufträgen und -artefakten

Informationen zur Verschlüsselung Ihrer Modellanpassungsaufträge und Artefakte in Amazon Bedrock finden Sie unter Verschlüsselung von Modellanpassungsaufträgen und Artefakten.

Themen

Berechtigungen und Schlüsselrichtlinien für benutzerdefinierte Amazon-Nova-Modelle
Schlüsselberechtigungen für die Verschlüsselung und das Aufrufen benutzerdefinierter Modelle einrichten

Berechtigungen und Schlüsselrichtlinien für benutzerdefinierte Amazon-Nova-Modelle

Die folgenden Anweisungen sind erforderlich, um Berechtigungen für Ihren KMS-Schlüssel einzurichten.

PermissionsModelCustomization-Anweisung

Fügen Sie im Feld Principal die Konten, für die Sie die Operationen Decrypt, GenerateDataKey, DescribeKey und CreateGrant zulassen möchten, zu der Liste hinzu, der das AWS-Unterfeld zugeordnet ist. Wenn Sie den kms:ViaService-Bedingungsschlüssel verwenden, können Sie für jede Region eine Zeile hinzufügen oder * anstelle von ${region} verwenden, um alle Regionen zuzulassen, die Amazon Bedrock unterstützen.


{
    "Sid": "PermissionsModelCustomization",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::${account-id}:role/${customization-role}"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:DescribeKey",
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "bedrock.${region}.amazonaws.com"
            ] 
        }
    }
}

PermissionsModelInvocation-Anweisung

Fügen Sie im Feld Principal die Konten, für die Sie die Operationen Decrypt und GenerateDataKey zulassen möchten, zu der Liste hinzu, der das AWS-Unterfeld zugeordnet ist. Wenn Sie den kms:ViaService-Bedingungsschlüssel verwenden, können Sie für jede Region eine Zeile hinzufügen oder * anstelle von ${region} verwenden, um alle Regionen zuzulassen, die Amazon Bedrock unterstützen.


{
    "Sid": "PermissionsModelInvocation",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::${account-id}:user/${invocation-role}"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "bedrock.${region}.amazonaws.com"
            ] 
        }
    }
}

PermissionsNovaProvisionedThroughput-Anweisung

Wenn Sie einen bereitgestellten Durchsatz für Ihr benutzerdefiniertes Amazon-Nova-Modell erstellen, führt Amazon Bedrock Inferenz- und Bereitstellungsoptimierungen für das Modell durch. In diesem Verfahren verwendet Amazon Bedrock denselben KMS-Schlüssel, der zur Erstellung des benutzerdefinierten Modells verwendet wurde, um das höchste Sicherheitsniveau wie beim benutzerdefinierten Modell selbst aufrechtzuerhalten.


{
    "Sid": "PermissionsNovaProvisionedThroughput",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "bedrock.amazonaws.com",
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "kms:EncryptionContextKeys": "aws:bedrock:custom-model"
        }
    }
 }

Schlüsselberechtigungen für die Verschlüsselung und das Aufrufen benutzerdefinierter Modelle einrichten

Wenn Sie vorhaben, ein Modell zu verschlüsseln, das Sie mit einem KMS-Schlüssel anpassen, hängt die Schlüsselrichtlinie für den Schlüssel von Ihrem Anwendungsfall ab. Erweitern Sie den Abschnitt, der Ihrem Anwendungsfall entspricht:

Wenn die Rollen, die das benutzerdefinierte Modell aufrufen, mit den Rollen übereinstimmen, die das Modell anpassen, sind lediglich die Anweisungen PermissionsModelCustomization und PermissionsNovaProvisionedThroughput aus den Berechtigungsanweisungen erforderlich

Fügen Sie im Feld Principal Konten, denen Sie das Anpassen und Aufrufen des benutzerdefinierten Modells erlauben möchten, zu der Liste hinzu, der das AWS-Unterfeld in Anweisung PermissionsModelCustomization zugeordnet ist.
Die Anweisung PermissionsNovaProvisionedThroughput sollte standardmäßig der Schlüsselrichtlinie mit bedrock.amazonaws.com als zulässigem Service-Prinzipal mit einer Bedingung hinzugefügt werden, dass kms:EncryptionContextKeys verwendet werden.

Wenn sich die Rollen, die das benutzerdefinierte Modell aufrufen, von der Rolle unterscheiden, die das Modell anpasst, sind alle drei Berechtigungsanweisungen erforderlich. Ändern Sie die Anweisungen in der folgenden Richtlinienvorlage wie folgt:

Fügen Sie im Feld Principal Konten, denen Sie nur das Anpassen des benutzerdefinierten Modells erlauben möchten, zu der Liste hinzu, der das AWS-Unterfeld in Anweisung PermissionsModelCustomization zugeordnet ist.
Fügen Sie im Feld Principal Konten, denen Sie nur das Aufrufen des benutzerdefinierten Modells erlauben möchten, zu der Liste hinzu, der das AWS-Unterfeld in Anweisung PermissionsModelInvocation zugeordnet ist.
Die Anweisung PermissionsNovaProvisionedThroughput sollte standardmäßig der Schlüsselrichtlinie mit bedrock.amazonaws.com als zulässigem Service-Prinzipal mit einer Bedingung hinzugefügt werden, dass kms:EncryptionContextKeys verwendet werden.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Id": "PermissionsCustomModelKey",
    "Statement": [
        {
            "Sid": "PermissionsModelCustomization",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/customization-role"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "PermissionsModelInvocation",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/invocation-role"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "PermissionsNovaPermissionedThroughput",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "bedrock.amazonaws.com"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": "aws:bedrock:custom-model"
                }
            }
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Feinabstimmung von Amazon-Nova-Modellen

Vorbereitung von Daten für die Feinabstimmung von Verständnismodellen