Elementos obligatorios de la política Requisitos de las políticas de IAM AWS KMSrequisitos clave de la política

Cifrado de datos para trabajos de evaluación de bases de conocimiento

Durante un trabajo de evaluación de la base de conocimiento, Amazon Bedrock hace una copia temporal de los datos. Amazon Bedrock elimina los datos una vez finalizado el trabajo. Para cifrar los datos, Amazon Bedrock utiliza una clave de KMS. Utiliza una clave de KMS que usted especifique o una clave que sea propiedad de Amazon Bedrock.

Amazon Bedrock requiere el IAM y AWS KMS los permisos en las siguientes secciones para poder usar su clave de KMS para hacer lo siguiente:

Descifrar sus datos
Cifrar la copia temporal que hace Amazon Bedrock

Al crear un trabajo de evaluación de la base de conocimiento, puede optar por utilizar una clave de KMS propiedad de Amazon Bedrock o puede elegir su propia clave administrada por el cliente. Si no especifica una clave administrada por el cliente, Amazon Bedrock utiliza su clave de forma predeterminada.

Para poder utilizar una clave administrada por el cliente, debe hacer lo siguiente:

Añada las acciones y los recursos de IAM necesarios a la política de roles de servicio de IAM.
Añada los elementos de la política de claves de KMS que sean necesarios.
Cree una política que pueda interactuar con la clave administrada por el cliente. Esto se especifica en una política de claves de KMS independiente.

Elementos obligatorios de la política

Las políticas de claves de IAM y KMS de las siguientes secciones incluyen los siguientes elementos obligatorios:

kms:Decrypt: para los archivos que haya cifrado con su clave de KMS, proporciona a Amazon Bedrock permisos para acceder a dichos archivos y descifrarlos.
kms:GenerateDataKey: controla el permiso para usar la clave de KMS para generar claves de datos. Amazon Bedrock utiliza GenerateDataKey para cifrar los datos temporales que almacena para el trabajo de evaluación.
kms:DescribeKey: ofrece información detallada sobre una clave de KMS.
kms:ViaService— La clave de condición limita el uso de una clave de KMS para realizar solicitudes a servicios específicosAWS. Debe especificar los siguientes servicios:
- Amazon S3, porque Amazon Bedrock almacena una copia temporal de sus datos en una ubicación de Amazon S3 de la que es propietario.
- Amazon Bedrock, porque el servicio de evaluación llama a la API de Bases de conocimiento de Amazon Bedrock para ejecutar el flujo de trabajo de la base de conocimiento.
kms:EncryptionContext:context-key— Esta clave de condición limita el acceso a AWS KMS las operaciones para que sean específicas únicamente del contexto de cifrado proporcionado.

Requisitos de las políticas de IAM

En el rol de IAM que utilice con Amazon Bedrock, la política de IAM asociada debe incluir los siguientes elementos. Para obtener más información sobre la administración de AWS KMS las claves, consulte Uso de las políticas de IAM con AWS KMS.

Los trabajos de evaluación de la base de conocimientos en Amazon Bedrock utilizan claves AWS propias. Para obtener más información sobre las claves AWS propias, consulte las claves AWS propias en la Guía para AWS Key Management Service desarrolladores.

El siguiente es un ejemplo de política de IAM que solo contiene las acciones y recursos de AWS KMS obligatorios:

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": [
                        "s3.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEvalKMS",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockKBDecryption",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:knowledgeBaseArn": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockKBEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:knowledgeBaseArn": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
                },
                "StringEquals": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockKBGenerateDataKey",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:CustomerAwsAccountId": "123456789012",
                    "kms:EncryptionContext:SessionId": "*"
                },
                "StringEquals": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CustomKMSDescribeKeyProvidedToBedrock",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ]
        }
    ]
}

AWS KMSrequisitos clave de la política

Cada clave de KMS debe tener una sola política de claves. Las instrucciones de políticas de claves determinan quién tiene permiso para usar la clave KMS y cómo debe usar dicho permiso. También puede utilizar políticas de IAM y concesiones para controlar el acceso a las claves de KMS, pero cada clave de KMS debe tener una política de claves.

Debe añadir la siguiente instrucción a la política de claves de KMS existente. Proporciona a Amazon Bedrock permisos para almacenar temporalmente sus datos en un bucket de S3 utilizando la clave de KMS que haya especificado.

Configurar los permisos de KMS para los roles que llaman a la CreateEvaluationJob API

Asegúrese de tener DescribeKey y descifrar los permisos para el rol utilizado para crear el trabajo de evaluación en la clave de KMS que utiliza en el trabajo de evaluación. GenerateDataKey

Ejemplo de política de claves de KMS



{
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/APICallingRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kmsDescribeKey"
            ],
            "Resource": "*"
       }
   ]
}

Ejemplo de política de IAM para la API de llamadas de roles CreateEvaluationJob

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Requisitos de las políticas de IAM

Eventos de administración