AWS Key Management Service apoyo en trabajos de evaluación de modelos

Amazon Bedrock utiliza el siguiente IAM y AWS KMS los siguientes permisos para usar su AWS KMS clave para descifrar los archivos y acceder a ellos. Guarda esos archivos en una ubicación interna de Amazon S3 administrada por Amazon Bedrock y utiliza los siguientes permisos para cifrarlos.

Requisitos de las políticas de IAM

La política de IAM asociada al rol de IAM que utilice para realizar solicitudes a Amazon Bedrock debe incluir los siguientes elementos. Para obtener más información sobre la administración de las claves de AWS KMS , consulte Using IAM policies with AWS Key Management Service.

Los trabajos de evaluación de modelos en Amazon Bedrock utilizan claves AWS propias. Estas claves de KMS son propiedad de Amazon Bedrock. Para obtener más información sobre las claves AWS propias, consulte las claves AWS propias en la Guía para AWS Key Management Service desarrolladores.

Elementos obligatorios de la política de IAM

kms:Decrypt— En el caso de los archivos que haya cifrado con su AWS Key Management Service clave, proporciona a Amazon Bedrock permisos para acceder a esos archivos y descifrarlos.
kms:GenerateDataKey: controla el permiso para usar la clave de AWS Key Management Service para generar claves de datos. Amazon Bedrock utiliza GenerateDataKey para cifrar los datos temporales que almacena para el trabajo de evaluación.
kms:DescribeKey: ofrece información detallada sobre una clave de KMS
kms:ViaService— La clave condicional limita el uso de una clave KMS a las solicitudes de servicios específicos AWS . Debe especificar Amazon S3 como servicio porque Amazon Bedrock almacena una copia temporal de sus datos en una ubicación de Amazon S3 de la que es propietario.

El siguiente es un ejemplo de política de IAM que solo contiene las acciones y recursos de AWS KMS IAM obligatorios.



{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "CustomKMSKeyProvidedToBedrock",
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDataKey"
        ],
        "Resource": [
          "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]"
        ]
    },
    {
        "Sid": "CustomKMSDescribeKeyProvidedToBedrock",
        "Effect": "Allow",
        "Action": [
            "kms:DescribeKey"
        ],
        "Resource": [
          "arn:aws:kms:{{region}}:{{accountId}}:key/[[keyId]]"
        ]
    }
]
}

Configurar los permisos de KMS para los roles que llaman a la CreateEvaluationJob API

Asegúrese de tener DescribeKey y descifrar los permisos para el rol utilizado para crear el trabajo de evaluación en la clave de KMS que utiliza en el trabajo de evaluación. GenerateDataKey

Ejemplo de política de claves de KMS



{
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/APICallingRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kmsDescribeKey"
            ],
            "Resource": "*"
       }
   ]
}

Ejemplo de política de IAM para la API de llamadas a CreateEvaluationJob funciones



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/keyYouUse"
            ]
        }
   ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Requisitos clave de la política

Cifrado de datos para trabajos de evaluación de bases de conocimientos