Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Chiffrement des données
Amazon Bedrock utilise le chiffrement pour protéger les données au repos et les données en transit.
**Chiffrement en transit**
À l'intérieur AWS, toutes les données interréseaux en transit sont compatibles avec le chiffrement TLS 1.2.
Les demandes adressées à la console et à l’API Amazon Bedrock sont envoyées par le biais d’une connexion sécurisée (SSL). Vous transmettez des rôles Gestion des identités et des accès AWS (IAM) à Amazon Bedrock pour autoriser l'accès aux ressources en votre nom à des fins de formation et de déploiement.
**Chiffrement au repos**
Amazon Bedrock fournit des [Chiffrement de modèles personnalisés](encryption-custom-job.md) au repos.
## Gestion des clés
Utilisez le AWS Key Management Service pour gérer les clés que vous utilisez pour chiffrer vos ressources. Pour plus d’informations, consultez [Concepts AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys). Vous pouvez chiffrer les ressources suivantes avec une clé KMS.
+ À l’aide d’Amazon Bedrock
+ Tâches de personnalisation de modèles et modèles personnalisés en sortie : lors de la création de tâches dans la console ou en spécifiant le `customModelKmsKeyId` champ dans l'appel [CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)d'API.
+ Agents : lors de la création de l'agent dans la console ou en spécifiant le `customerEncryptionKeyArn` champ dans l'appel [CreateAgent](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateAgent.html)d'API.
+ Tâches d'ingestion de sources de données pour les bases de connaissances : lors de la création de la base de connaissances dans la console ou en spécifiant le `kmsKeyArn` champ dans l'appel d'[UpdateDataSource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_UpdateDataSource.html)API [CreateDataSource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateDataSource.html)ou d'API.
+ Magasins vectoriels dans Amazon OpenSearch Service — Pendant la création du magasin vectoriel. Pour plus d'informations, consultez [Création, mise en vente et suppression de collections Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-manage.html) et [Chiffrement des données au repos pour Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html).
+ Tâches d'évaluation de modèles : lorsque vous créez une tâche d'évaluation de modèle dans la console ou en spécifiant un ARN clé ` customerEncryptionKeyId` dans l'appel [CreateEvaluationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateEvaluationJob.html)d'API.
+ Par le biais d'Amazon S3 — Pour plus d'informations, consultez [Utilisation du chiffrement côté serveur avec des AWS KMS clés (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)).
+ Données d’entraînement, de validation et de sortie pour la personnalisation du modèle
+ Sources de données pour les bases de connaissances
+ Par AWS Secrets Manager — Pour plus d'informations, voir [Chiffrement et déchiffrement secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) dans AWS Secrets Manager
+ Stockages vectoriels pour les modèles tiers
Après avoir chiffré une ressource, vous pouvez trouver l’ARN de la clé KMS en sélectionnant une ressource et en consultant ses **détails** dans la console ou en utilisant les appels d’API `Get`suivants.
+ [GetModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_GetModelCustomizationJob.html)
+ [GetAgent](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_GetAgent.html)
+ [GetIngestionJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_GetIngestionJob.html)
# Chiffrement de modèles personnalisés
Amazon Bedrock utilise vos données d'entraînement avec l'[CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)action, ou avec la [console](model-customization-submit.md), pour créer un modèle personnalisé qui est une version affinée d'un modèle de base d'Amazon Bedrock. Vos modèles personnalisés sont gérés et stockés parAWS.
Amazon Bedrock n’utilise les données de peaufinage que vous fournissez que pour optimiser un modèle de fondation Amazon Bedrock. Amazon Bedrock n’utilise pas les données de peaufinage à d’autres fins. Vos données d’entraînement ne sont pas utilisées pour entraîner les modèles Titan de base et ne sont pas distribuées à des tiers. Les autres données d'utilisation, telles que les horodatages d'utilisation, le compte IDs enregistré et les autres informations enregistrées par le service, ne sont pas non plus utilisées pour entraîner les modèles.
Aucune des données d’entraînement ou de validation que vous fournissez pour le peaufinage n’est stockée par Amazon Bedrock, une fois la tâche de peaufinage terminée.
Notez que les modèles peaufinés peuvent reproduire certaines données de peaufinage lors de la génération de saisies. Si votre application ne doit pas exposer de données de peaufinage sous quelque forme que ce soit, vous devez d’abord filtrer les données confidentielles de vos données d’entraînement. Si vous avez déjà créé un modèle personnalisé à l’aide de données confidentielles par erreur, vous pouvez supprimer ce modèle personnalisé, filtrer les informations confidentielles des données d’entraînement, puis créer un nouveau modèle.
Pour chiffrer les modèles personnalisés (y compris les modèles copiés), Amazon Bedrock vous propose deux options :
1. **Clés détenues par AWS**— Par défaut, Amazon Bedrock chiffre les modèles personnalisés avec. Clés détenues par AWS Vous ne pouvez ni afficher, ni gérer, ni utiliserClés détenues par AWS, ni auditer leur utilisation. Toutefois, vous n’avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d’informations, consultez [Clés détenues par AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) dans le *Guide du développeur AWS Key Management Service*.
1. **Clés gérées par le client** : vous pouvez choisir de chiffrer des modèles personnalisés avec des clés gérées par le client que vous gérez vous-même. Pour plus d'informationsAWS KMS keys, consultez la section [Clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) dans le *Guide du AWS Key Management Service développeur*.
**Note**
Amazon Bedrock active automatiquement le chiffrement au repos sans frais. Clés détenues par AWS Si vous utilisez une clé gérée par le client, AWS KMS des frais s'appliquent. Pour plus d’informations sur la tarification, consultez [Tarification d’AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
Pour plus d'informations à ce sujetAWS KMS, consultez le [guide du AWS Key Management Service développeur](https://docs.aws.amazon.com/kms/latest/developerguide/).
**Topics**
+ [Comment Amazon Bedrock utilise les subventions dans AWS KMS](#encryption-br-grants)
+ [Comment créer une clé gérée par le client et comment y associer une stratégie de clé](#encryption-key-policy)
+ [Autorisations et stratégies de clé pour les modèles personnalisés et copiés](#encryption-cm-statements)
+ [Surveillance de vos clés de chiffrement pour le service Amazon Bedrock](#encryption-monitor-key)
+ [Chiffrement des données d’entraînement, de validation et de sortie](#encryption-custom-job-data)
## Comment Amazon Bedrock utilise les subventions dans AWS KMS
Si vous spécifiez une clé gérée par le client pour chiffrer un modèle personnalisé pour une tâche de personnalisation ou de copie de modèle, Amazon Bedrock crée une [subvention](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) KMS **principale** associée au modèle personnalisé en votre nom en envoyant une [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)demande à. AWS KMS Cet octroi permet à Amazon Bedrock d’accéder à votre clé gérée par le client et de l’utiliser. Les subventions AWS KMS sont utilisées pour donner à Amazon Bedrock l'accès à une clé KMS dans le compte d'un client.
Amazon Bedrock requiert l’octroi primaire d’utiliser votre clé gérée par le client pour les opérations internes suivantes :
+ Envoyez [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)des demandes AWS KMS à pour vérifier que l'ID de clé KMS symétrique géré par le client que vous avez saisi lors de la création de la tâche est valide.
+ Envoyez [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)et [déchiffrez](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) des demandes visant AWS KMS à générer des clés de données chiffrées par la clé gérée par votre client et à déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer les artefacts du modèle.
+ Envoyez des [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)demandes AWS KMS à pour créer des autorisations secondaires limitées avec un sous-ensemble des opérations ci-dessus (`DescribeKey`,,`Decrypt`)`GenerateDataKey`, pour l'exécution asynchrone de la personnalisation du modèle, de la copie du modèle ou de la création de débit provisionné.
+ Amazon Bedrock indique un capital partant à la retraite lors de la création des subventions, afin que le service puisse envoyer une [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)demande.
Vous avez un accès complet à votre AWS KMS clé gérée par le client. Vous pouvez révoquer l’accès à l’octroi en suivant les étapes de [Retrait et révocation d’octrois](https://docs.aws.amazon.com/kms/latest/developerguide/grant-manage.html#grant-delete) dans le [Guide du développeur AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/) ou supprimer l’accès du service à votre clé gérée par le client à tout moment en modifiant la [stratégie de clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html). Dans ce cas, Amazon Bedrock ne pourra pas accéder au modèle personnalisé chiffré par votre clé.
### Cycle de vie des octrois primaires et secondaires pour les modèles personnalisés
+ Les **octrois primaires** ont une longue durée de vie et restent actifs tant que les modèles personnalisés associés sont toujours utilisés. Lorsqu’un modèle personnalisé est supprimé, l’octroi primaire correspondant est automatiquement retiré.
+ Les **octrois secondaires** sont de courte durée. Ils sont automatiquement retirés dès que l’opération effectuée par Amazon Bedrock pour le compte des clients est terminée. Par exemple, une fois qu’une tâche de copie de modèle est terminée, l’octroi secondaire qui autorisait Amazon Bedrock à chiffrer le modèle personnalisé copié est immédiatement retiré.
## Comment créer une clé gérée par le client et comment y associer une stratégie de clé
Pour chiffrer une AWS ressource à l'aide d'une clé que vous créez et gérez, vous devez suivre les étapes générales suivantes :
1. (Prérequis) Assurez-vous que votre rôle IAM dispose des autorisations nécessaires pour effectuer l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)action.
1. Suivez les étapes de la section [Création de clés](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) pour créer une clé gérée par le client à l'aide de la AWS KMS console ou de l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)opération.
1. La création de la clé renvoie un `Arn` pour la clé que vous pouvez utiliser pour les opérations nécessitant l’utilisation de la clé (par exemple, lors de la [soumission d’une tâche de personnalisation de modèle](model-customization-submit.md) ou lors de l’[exécution d’une inférence de modèle](inference-invoke.md)).
1. Créez une stratégie de clé et associez-la à la clé avec les autorisations requises. Pour créer une politique clé, suivez les étapes décrites dans la section [Création d'une politique clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) dans le guide du AWS Key Management Service développeur.
## Autorisations et stratégies de clé pour les modèles personnalisés et copiés
Après avoir créé une clé KMS, vous y attachez une stratégie de clé. Les stratégies de clé sont des [stratégies basées sur les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) que vous attachez à votre clé gérée par le client pour contrôler l’accès à celle-ci. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Vous pouvez spécifier une stratégie de clé lorsque vous créez votre clé gérée par le client. Vous pouvez modifier la stratégie de clé à tout moment, mais il se peut qu’il y ait un bref délai avant que le changement ne soit disponible à travers AWS KMS. Pour plus d’informations, consultez [Gestion de l’accès aux clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) dans le [Guide du développeur AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/).
Les [actions](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions) KMS suivantes sont utilisées pour les clés qui chiffrent les modèles personnalisés et copiés :
1. [kms : CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) — Crée une subvention pour une clé gérée par le client en autorisant le principal du service Amazon Bedrock à accéder à la clé KMS spécifiée par le biais d'[opérations de subvention](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations). Pour plus d’informations sur les octrois, consultez [Octrois dans AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) dans le [Guide du développeur AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/).
**Note**
Amazon Bedrock configure également un principal mis hors service et retire automatiquement l’octroi lorsqu’il n’est plus requis.
1. [kms : DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — Fournit les informations clés gérées par le client pour permettre à Amazon Bedrock de valider la clé.
1. [kms : GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Fournit les informations clés gérées par le client pour permettre à Amazon Bedrock de valider l'accès des utilisateurs. Amazon Bedrock stocke le texte chiffré généré conjointement avec le modèle personnalisé à utiliser comme contrôle de validation supplémentaire auprès des utilisateurs du modèle personnalisé.
1. [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) : déchiffre le texte chiffré stocké pour valider le fait que le rôle dispose d’un accès approprié à la clé KMS qui chiffre le modèle personnalisé.
Pour des raisons de sécurité, nous vous recommandons d'inclure la clé de ViaService condition [kms :](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service) afin de limiter l'accès à la clé du service Amazon Bedrock.
Bien que vous ne puissiez attacher qu’une seule stratégie de clé à une clé, vous pouvez attacher plusieurs instructions à la stratégie de clé en ajoutant des instructions à la liste dans le champ `Statement` de la stratégie.
Les instructions suivantes concernent le chiffrement des modèles personnalisés et copiés :
### Chiffrement d’un modèle
Pour utiliser votre clé gérée par le client afin de chiffrer un modèle personnalisé ou copié, incluez l’instruction suivante dans une stratégie de clé pour autoriser le chiffrement d’un modèle. Dans le champ `Principal`, ajoutez les comptes que vous souhaitez autoriser à chiffrer et à déchiffrer la clé à la liste à laquelle le sous-champ `AWS` est mappé. Si vous utilisez la clé de `kms:ViaService` condition, vous pouvez ajouter une ligne pour chaque région, ou l'utiliser *\$1* à la place de *\$1\$1region\$1* pour autoriser toutes les régions qui prennent en charge Amazon Bedrock.
```
{
"Sid": "PermissionsEncryptDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::${account-id}:role/${role}"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.${region}.amazonaws.com"
]
}
}
}
```
### Autorisation de l’accès à un modèle chiffré
Pour autoriser l’accès à un modèle chiffré avec une clé KMS, incluez l’instruction suivante dans une stratégie de clé afin d’autoriser le déchiffrement de la clé. Dans le champ `Principal`, ajoutez les comptes que vous souhaitez autoriser à déchiffrer la clé à la liste à laquelle le sous-champ `AWS` est mappé. Si vous utilisez la clé de `kms:ViaService` condition, vous pouvez ajouter une ligne pour chaque région, ou l'utiliser *\$1* à la place de *\$1\$1region\$1* pour autoriser toutes les régions qui prennent en charge Amazon Bedrock.
```
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::${account-id}:role/${role}"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.${region}.amazonaws.com"
]
}
}
}
```
Pour en savoir plus sur les stratégies de clé que vous devez créer, développez la section correspondant à votre cas d’utilisation :
### Configuration des autorisations de clés pour le chiffrement de modèles personnalisés
Si vous envisagez de chiffrer un modèle que vous personnalisez à l’aide d’une clé KMS, la stratégie de clé dépendra de votre cas d’utilisation. Développez la section correspondant à votre cas d’utilisation :
#### Les rôles qui personnaliseront le modèle et les rôles qui invoqueront le modèle sont les mêmes
Si les rôles qui invoqueront le modèle personnalisé sont les mêmes que ceux qui personnaliseront le modèle, vous n’avez besoin que de l’instruction de [Chiffrement d’un modèle](#encryption-key-policy-encrypt). Dans le champ `Principal` du modèle de stratégie suivant, ajoutez les comptes que vous souhaitez autoriser à personnaliser et invoquer le modèle personnalisé dans la liste à laquelle le sous-champ `AWS` est mappé.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCustomModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCustomModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
#### Les rôles qui personnaliseront le modèle et les rôles qui invoqueront le modèle sont différents
Si les rôles qui invoqueront le modèle personnalisé sont différents du rôle qui personnalisera le modèle, vous avez besoin à la fois de l’instruction de [Chiffrement d’un modèle](#encryption-key-policy-encrypt) et de [Autorisation de l’accès à un modèle chiffré](#encryption-key-policy-decrypt). Modifiez les instructions dans le modèle de stratégie suivant comme suit :
1. La première instruction permet le chiffrement et le déchiffrement de la clé. Dans le champ `Principal`, ajoutez les comptes que vous souhaitez autoriser à personnaliser le modèle personnalisé à la liste à laquelle le sous-champ `AWS` est mappé.
1. La deuxième instruction permet uniquement le déchiffrement de la clé. Dans le champ `Principal`, ajoutez les comptes que vous souhaitez autoriser uniquement à invoquer le modèle personnalisé à la liste à laquelle le sous-champ `AWS` est mappé.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCustomModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCustomModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
},
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
### Configuration des autorisations de clés pour la copie des modèles personnalisés
Lorsque vous copiez un modèle que vous possédez ou qui a été partagé avec vous, vous devrez peut-être gérer jusqu’à deux stratégies de clé :
#### Stratégie de clé pour la clé qui chiffrera un modèle copié
Si vous envisagez d’utiliser une clé KMS pour chiffrer un modèle copié, la stratégie de clé dépendra de votre cas d’utilisation. Développez la section correspondant à votre cas d’utilisation :
##### Les rôles qui copieront le modèle et les rôles qui invoqueront le modèle sont les mêmes
Si les rôles qui invoqueront le modèle copié sont les mêmes que ceux qui créeront la copie du modèle, vous n’avez besoin que de l’instruction de [Chiffrement d’un modèle](#encryption-key-policy-encrypt). Dans le champ `Principal` du modèle de stratégie suivant, ajoutez les comptes que vous souhaitez autoriser à copier et invoquer le modèle copié dans la liste à laquelle le sous-champ `AWS` est mappé :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCopiedModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
##### Les rôles qui copieront le modèle et les rôles qui invoqueront le modèle sont différents
Si les rôles qui invoqueront le modèle copié sont différents du rôle qui créera la copie du modèle, vous avez besoin à la fois de l’instruction de [Chiffrement d’un modèle](#encryption-key-policy-encrypt) et de [Autorisation de l’accès à un modèle chiffré](#encryption-key-policy-decrypt). Modifiez les instructions dans le modèle de stratégie suivant comme suit :
1. La première instruction permet le chiffrement et le déchiffrement de la clé. Dans le champ `Principal`, ajoutez les comptes que vous souhaitez autoriser à créer le modèle copié à la liste à laquelle le sous-champ `AWS` est mappé.
1. La deuxième instruction permet uniquement le déchiffrement de la clé. Dans le champ `Principal`, ajoutez les comptes que vous souhaitez autoriser uniquement à invoquer le modèle copié à la liste à laquelle le sous-champ `AWS` est mappé.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCopiedModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
},
{
"Sid": "PermissionsDecryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
#### Stratégie de clé pour la clé qui chiffre le modèle source à copier
Si le modèle source que vous allez copier est chiffré à l’aide d’une clé KMS, attachez l’instruction de [Autorisation de l’accès à un modèle chiffré](#encryption-key-policy-decrypt) à la stratégie de clé pour la clé qui chiffre le modèle source. Cette instruction permet au rôle de copie du modèle de déchiffrer la clé qui chiffre le modèle source. Dans le champ `Principal` du modèle de stratégie suivant, ajoutez les comptes que vous souhaitez autoriser à copier le modèle source à la liste à laquelle le sous-champ `AWS` correspond :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsSourceModelKey",
"Statement": [
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Surveillance de vos clés de chiffrement pour le service Amazon Bedrock
Lorsque vous utilisez une clé gérée par le AWS KMS client avec vos ressources Amazon Bedrock, vous pouvez utiliser [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) pour suivre les demandes auxquelles Amazon Bedrock envoie. AWS KMS
Voici un exemple d'AWS CloudTrailévénement permettant de [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)surveiller les opérations KMS appelées par Amazon Bedrock pour créer une subvention principale :
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForModelCopy/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForModelCopy",
"accountId": "111122223333",
"userName": "RoleForModelCopy"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Chiffrement des données d’entraînement, de validation et de sortie
Lorsque vous utilisez Amazon Bedrock pour exécuter une tâche de personnalisation de modèle, vous stockez les fichiers d’entrée dans le compartiment Amazon S3. Une fois la tâche terminée, Amazon Bedrock stocke les fichiers de mesures de sortie dans le compartiment S3 que vous avez spécifié lors de la création de la tâche, ainsi que les artefacts du modèle personnalisé qui en résultent dans un compartiment S3 contrôlé par. AWS
Les fichiers de sortie sont chiffrés avec les configurations de chiffrement du compartiment S3. Ils sont chiffrés soit avec le [chiffrement SSE-S3 côté serveur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html), soit avec le [chiffrement AWS KMS SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html), selon la façon dont vous avez configuré le compartiment S3.
# Chiffrement des modèles personnalisés importés
Amazon Bedrock prend en charge la création de modèles personnalisés par le biais de deux méthodes qui utilisent toutes deux la même approche de chiffrement. Vos modèles personnalisés sont gérés et stockés par AWS :
+ **Tâches d’importation de modèles personnalisés** : pour importer des modèles de fondation open source personnalisés (tels que les modèles Mistral AI et Llama).
+ **Créer un modèle personnalisé** : pour importer des modèles Amazon Nova que vous avez personnalisés dans SageMaker AI.
Pour le chiffrement de vos modèles personnalisés, Amazon Bedrock propose les options suivantes :
+ **AWSclés détenues** — Par défaut, Amazon Bedrock chiffre les modèles personnalisés importés à l'aide de clés AWS détenues. Vous ne pouvez pas afficher, gérer ou utiliser les clés que vous AWS possédez, ni auditer leur utilisation. Toutefois, vous n’avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d’informations, consultez [Clés détenues par AWS](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#aws-owned-cmk) dans le *Guide du développeur AWS Key Management Service*.
+ **Clés gérées par le client (CMK)** — Vous pouvez choisir d'ajouter une deuxième couche de chiffrement aux clés de chiffrement AWS détenues existantes en choisissant une clé gérée par le client (CMK). Vous créez, possédez et gérez les clés gérées par le client.
Étant donné que vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :
+ Établissement et gestion des stratégies de clé
+ Établissement et gestion des politiques IAM et des octrois
+ Activation et désactivation des stratégies de clé
+ Rotation des matériaux de chiffrement de clé
+ Ajout de balises
+ Création d’alias de clé
+ Planification de clés pour suppression
Pour plus d’informations, consultez [Clés CMK](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) dans le *Guide du développeur AWS Key Management Service*.
**Note**
Pour tous les modèles personnalisés que vous importez, Amazon Bedrock active automatiquement le chiffrement au repos à l'aide de clés AWS détenues afin de protéger gratuitement les données des clients. Si vous utilisez une clé gérée par le client, AWS KMS des frais s'appliquent. Pour plus d’informations sur la tarification, consultez [Tarification d’AWS Key Management Service](https://docs.aws.amazon.com/).
## Comment Amazon Bedrock utilise les subventions dans AWS KMS
Si vous spécifiez une clé gérée par le client pour chiffrer le modèle importé. Amazon Bedrock crée une AWS KMS [subvention](https://docs.aws.amazon.com/) **principale** associée au modèle importé en votre nom en envoyant une [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)demande àAWS KMS. Cet octroi permet à Amazon Bedrock d’accéder à votre clé gérée par le client et de l’utiliser. Les subventions AWS KMS sont utilisées pour donner à Amazon Bedrock l'accès à une clé KMS dans le compte d'un client.
Amazon Bedrock requiert l’octroi primaire d’utiliser votre clé gérée par le client pour les opérations internes suivantes :
+ Envoyez [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)des demandes AWS KMS à pour vérifier que l'ID de clé KMS symétrique géré par le client que vous avez saisi lors de la création de la tâche est valide.
+ Envoyez [GenerateDataKey](https://docs.aws.amazon.com//kms/latest/APIReference/API_GenerateDataKey.html)et [déchiffrez](https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html) des demandes visant AWS KMS à générer des clés de données chiffrées par la clé gérée par votre client et à déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer les artefacts du modèle.
+ Envoyez des [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)demandes AWS KMS à pour créer des autorisations secondaires limitées avec un sous-ensemble des opérations ci-dessus (`DescribeKey`,,`Decrypt`)`GenerateDataKey`, pour l'exécution asynchrone de l'importation de modèles et pour l'inférence à la demande.
+ Amazon Bedrock indique un capital partant à la retraite lors de la création des subventions, afin que le service puisse envoyer une [RetireGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_RetireGrant.html)demande.
Vous avez un accès complet à votre AWS KMS clé gérée par le client. Vous pouvez révoquer l’accès à l’octroi en suivant les étapes de [Retrait et révocation d’octrois](https://docs.aws.amazon.com//kms/latest/developerguide/grant-manage.html#grant-delete) dans le *Guide du développeur AWS Key Management Service* ou supprimer l’accès du service à votre clé gérée par le client à tout moment en modifiant la stratégie de clé. Dans ce cas, Amazon Bedrock ne pourra pas accéder au modèle importé chiffré par votre clé.
### Cycle de vie des subventions principales et secondaires pour les modèles importés personnalisés
+ Les **octrois primaires** ont une longue durée de vie et restent actifs tant que les modèles personnalisés associés sont toujours utilisés. Lorsqu’un modèle importé personnalisé est supprimé, l’octroi primaire correspondant est automatiquement retiré.
+ Les **octrois secondaires** sont de courte durée. Ils sont automatiquement retirés dès que l’opération effectuée par Amazon Bedrock pour le compte des clients est terminée. Par exemple, une fois qu’une tâche d’importation de modèle personnalisée est terminée, l’octroi secondaire qui autorisait Amazon Bedrock à chiffrer le modèle importé personnalisé est immédiatement retiré.
# Utilisation d’une clé gérée par le client (CMK)
Si vous envisagez d’utiliser une clé gérée par le client pour chiffrer votre modèle importé personnalisé, procédez comme suit :
1. Créez une clé gérée par le client avec AWS Key Management Service.
1. Attachez une [politique basée sur les ressources](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html) avec des autorisations pour les rôles spécifiés afin de créer et d’utiliser des modèles importés personnalisés.
**Création d'une clé gérée par le client**
Assurez-vous au préalable de disposer des autorisations `CreateKey`. Suivez ensuite les étapes de [création de clés](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) pour créer des clés gérées par le client, soit dans la AWS KMS console, soit dans le cadre de l'opération [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API. Assurez-vous de créer une clé de chiffrement symétrique.
La création de la clé renvoie un `Arn` pour la clé que vous pouvez utiliser comme `importedModelKmsKeyId ` lors de l’importation d’un modèle personnalisé.
**Création d’une stratégie de clé et association à la clé gérée par le client**
Les stratégies de clé sont des [stratégies basées sur les ressources](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html) que vous attachez à votre clé gérée par le client pour contrôler l’accès à celle-ci. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Vous pouvez spécifier une stratégie de clé lorsque vous créez votre clé gérée par le client. Vous pouvez modifier la stratégie de clé à tout moment, mais il se peut qu’il y ait un bref délai avant que le changement ne soit disponible à travers AWS KMS. Pour plus d’informations, consultez [Gestion de l’accès aux clés gérées par le client](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#managing-access) dans le *Guide du développeur AWSAWS Key Management Service*.
**Chiffrement d’un modèle personnalisé importé**
Pour utiliser votre clé gérée par le client pour chiffrer un modèle personnalisé importé, vous devez inclure les AWS KMS opérations suivantes dans la politique de clé :
+ [kms : CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) — crée une subvention pour une clé gérée par le client en autorisant le principal du service Amazon Bedrock à accéder à la clé KMS spécifiée par le biais d'[opérations de subvention](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations). Pour en savoir plus sur les octrois, consultez [Autorisations dans AWS KMS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) dans le *Guide du développeur AWS Key Management Service*.
**Note**
Amazon Bedrock configure également un principal mis hors service et retire automatiquement l’octroi lorsqu’il n’est plus requis.
+ [kms : DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — fournit les informations clés gérées par le client pour permettre à Amazon Bedrock de valider la clé.
+ [kms : GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Fournit les informations clés gérées par le client pour permettre à Amazon Bedrock de valider l'accès des utilisateurs. Amazon Bedrock stocke le texte chiffré généré conjointement avec le modèle personnalisé importé à utiliser comme contrôle de validation supplémentaire auprès des utilisateurs du modèle personnalisé importé
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) : déchiffre le texte chiffré stocké pour valider le fait que le rôle dispose d’un accès approprié à la clé KMS qui chiffre le modèle personnalisé importé.
Voici un exemple de politique que vous pouvez attacher à une clé pour un rôle que vous utiliserez afin de chiffrer les modèles que vous importez :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy for a key to encrypt an imported custom model",
"Statement": [
{
"Sid": "Permissions for model import API invocation role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
}
]
}
```
------
**Déchiffrement d’un modèle personnalisé importé chiffré**
Si vous importez un modèle personnalisé qui a déjà été chiffré par une autre clé gérée par le client, vous devez ajouter des autorisations `kms:Decrypt` pour le même rôle, conformément à la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy for a key that encrypted a custom imported model",
"Statement": [
{
"Sid": "Permissions for model import API invocation role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
# Surveillance de vos clés de chiffrement pour le service Amazon Bedrock
Lorsque vous utilisez une clé gérée par le AWS KMS client avec vos ressources Amazon Bedrock, vous pouvez utiliser [AWS CloudTrail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) pour suivre les demandes auxquelles Amazon Bedrock envoie. AWS KMS
Voici un exemple d'AWS CloudTrailévénement permettant de [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)surveiller les AWS KMS opérations appelées par Amazon Bedrock pour créer une subvention principale :
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForModelImport/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForModelImport",
"accountId": "111122223333",
"userName": "RoleForModelImport"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
Associez la politique suivante basée sur les ressources à la clé KMS en suivant les étapes de la section [Création d’une politique](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-overview.html). La politique possède deux énoncés.
1. Autorisations accordées à un rôle pour chiffrer les artefacts de personnalisation du modèle. Ajoutez les rôles ARNs de créateur de modèles personnalisés importés au `Principal` champ.
1. Autorisations permettant à un rôle d’utiliser le modèle personnalisé importé à des fins d’inférence. Ajoutez ARNs des rôles d'utilisateur de modèles personnalisés importés au `Principal` champ.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS Key Policy",
"Statement": [
{
"Sid": "Permissions for imported model builders",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Sid": "Permissions for imported model users",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/role"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
]
}
```
------
# Chiffrement dans l'automatisation Amazon Bedrock des données
Amazon BedrockData Automation (BDA) utilise le chiffrement pour protéger vos données au repos. Cela inclut les plans, les projets et les insights extraits stockés par le service. BDA propose deux options de chiffrement de vos données :
1. AWSclés détenues : par défaut, BDA chiffre vos données à l'aide de clés AWS détenues. Vous ne pouvez pas afficher, gérer ou utiliser les clés que vous AWS possédez, ni auditer leur utilisation. Toutefois, vous n’avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d'informations, consultez la section sur [les clés AWS détenues](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) dans le Guide du développeur du service de gestion des AWS clés.
1. Clés gérées par le client : vous pouvez choisir de chiffrer vos données avec des clés gérées par le client que vous gérez vous-même. Pour plus d'informations sur AWS KMS les clés, consultez la section [Clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) dans le Guide du développeur du service de gestion des AWS clés. BDA ne prend pas en charge les clés gérées par le client destinées à être utilisées dans la console Amazon Bedrock, uniquement pour les opérations d’API.
Amazon BedrockL'automatisation des données active automatiquement le chiffrement au repos à l'aide de clés AWS détenues gratuitement. Si vous utilisez une clé gérée par le client, AWS KMS des frais s'appliquent. Pour plus d'informations sur la tarification, consultez la section AWS KMS [tarification](https://aws.amazon.com/kms/pricing/).
## Comment Amazon Bedrock utilise les subventions dans AWS KMS
Si vous spécifiez une clé gérée par le client pour le chiffrement de votre BDA lorsque vous appelez invokeDataAutomation Async, le service crée une subvention associée à vos ressources en votre nom en envoyant une CreateGrant demande à. AWS KMS Cet octroi permet à BDA d’accéder à votre clé gérée par le client et de l’utiliser.
BDA utilise l’octroi pour votre clé gérée par le client pour les opérations internes suivantes :
+ DescribeKey — Envoyez des demandes AWS KMS à pour vérifier que l'identifiant de AWS KMS clé symétrique géré par le client que vous avez fourni est valide.
+ GenerateDataKey et déchiffrer : envoyez des demandes AWS KMS pour générer des clés de données chiffrées par la clé gérée par votre client et pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos ressources.
+ CreateGrant — Envoyez des demandes AWS KMS à pour créer des autorisations délimitées avec un sous-ensemble des opérations ci-dessus (DescribeKey,, Decrypt) GenerateDataKey, pour l'exécution asynchrone des opérations.
Vous avez un accès complet à votre AWS KMS clé gérée par le client. Vous pouvez révoquer l’accès à l’octroi en suivant les étapes de Retrait et révocation d’octrois dans le Guide du développeur AWS KMS ou supprimer l’accès du service à votre clé gérée par le client à tout moment en modifiant la stratégie de clé. Dans ce cas, BDA ne peut pas accéder aux ressources chiffrées par votre clé.
Si vous lancez un nouvel appel invokeDataAutomation asynchrone après avoir révoqué une autorisation, BDA la recréera. Les octrois sont retirés par BDA au bout de 30 heures.
## Création d’une clé gérée par le client et attachement d’une stratégie de clé
Pour chiffrer des ressources BDA à l’aide d’une clé que vous créez et gérez, suivez ces étapes générales :
1. (Prérequis) Assurez-vous que votre rôle IAM dispose des autorisations nécessaires pour effectuer l' CreateKey action.
1. Suivez les étapes de la section [Création de clés](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) pour créer une clé gérée par le client à l'aide de la AWS KMS console ou de l' CreateKey opération.
1. La création de la clé renvoie un ARN que vous pouvez utiliser pour les opérations qui nécessitent l'utilisation de la clé (par exemple, lors de la création d'un projet ou d'un plan dans BDA), comme l'opération invokeDataAutomation Async.
1. Créez une stratégie de clé et associez-la à la clé avec les autorisations requises. Pour créer une politique clé, suivez les étapes décrites dans la section [Création d'une politique clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-create.html) dans le guide du AWS KMS développeur.
## Autorisations et politiques clés pour les ressources d'automatisation des Amazon Bedrock données
Après avoir créé une AWS KMS clé, vous devez y associer une politique clé. Les actions AWS KMS suivantes sont utilisées pour les clés qui chiffrent les ressources BDA :
1. kms:CreateGrant — Crée une subvention pour une clé gérée par le client en autorisant le service BDA à accéder à la AWS KMS clé spécifiée par le biais des opérations de subvention nécessaires pour InvokeDataAutomationAsync.
1. kms:DescribeKey — Fournit les informations clés gérées par le client pour permettre à BDA de valider la clé.
1. kms:GenerateDataKey — Fournit au client les informations clés gérées par le client pour permettre à BDA de valider l'accès des utilisateurs.
1. kms:Déchiffrer : déchiffre le texte chiffré stocké pour vérifier que le rôle dispose d'un accès approprié à la AWS KMS clé qui chiffre les ressources BDA.
**Stratégie de clé pour l’automatisation des données Amazon Bedrock**
Pour chiffrer les ressources BDA à l’aide de votre clé gérée par le client, incluez les instructions suivantes dans votre stratégie de clé et remplacez `${account-id}`, `${region}` et `${key-id}` par vos valeurs spécifiques :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy for a key to encrypt data for BDA resource",
"Statement": [
{
"Sid": "Permissions for encryption of data for BDA resources",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/Role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
**Autorisations relatives aux rôles IAM**
Le rôle IAM utilisé pour interagir avec BDA AWS KMS doit disposer des autorisations suivantes, remplacer `${region}``${account-id}`, et `${key-id}` avec vos valeurs spécifiques :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Contexte de chiffrement d’automatisation Amazon Bedrock
BDA utilise le même contexte de chiffrement dans toutes les opérations AWS KMS cryptographiques, où la clé se trouve `aws:bedrock:data-automation-customer-account-id` et la valeur est votre identifiant de AWS compte. Vous trouverez ci-dessous un exemple de contexte de chiffrement.
```
"encryptionContext": {
"bedrock:data-automation-customer-account-id": "account id"
}
```
**Utilisation du contexte de chiffrement à des fins de surveillance**
Lorsque vous chiffrez vos données à l’aide d’une clé symétrique gérée par le client, vous pouvez également identifier la manière dont la clé gérée par le client est utilisée à l’aide du contexte de chiffrement dans les enregistrements et les journaux d’audit. Le contexte de chiffrement apparaît également dans les journaux générés par AWS CloudTrail ou Amazon CloudWatch Logs.
**Contrôle de l’accès à votre clé gérée par le client à l’aide du contexte de chiffrement**
Vous pouvez utiliser le contexte de chiffrement dans les stratégies de clé et les politiques IAM en tant que conditions pour contrôler l’accès à votre clé symétrique gérée par le client. Vous pouvez également utiliser des contraintes de contexte de chiffrement dans un octroi. BDA contrôle l’accès à la clé gérée par le client dans votre compte ou région à l’aide d’une contrainte de contexte de chiffrement dans les octrois. La contrainte d’octroi exige que les opérations autorisées par l’octroi utilisent le contexte de chiffrement spécifié.
Vous trouverez ci-dessous des exemples de déclarations de stratégie de clé permettant d’accorder l’accès à une clé gérée par le client dans un contexte de chiffrement spécifique. La condition énoncée dans cette instruction de stratégie exige que les octrois comportent une contrainte de contexte de chiffrement qui spécifie le contexte de chiffrement.
```
[
{
"Sid": "Enable DescribeKey, Decrypt, GenerateDataKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleRole"
},
"Action": ["kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:bedrock:data-automation-customer-account-id": "111122223333"
},
"StringEquals": {
"kms:GrantOperations": ["Decrypt", "DescribeKey", "GenerateDataKey"]
}
}
}
]
```
## Surveillance de vos clés de chiffrement pour l'automatisation Amazon Bedrock des données
Lorsque vous utilisez une clé gérée par le AWS KMS client avec vos ressources d'automatisation des Amazon Bedrock données, vous pouvez utiliser [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)ou [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)suivre les demandes auxquelles Amazon Bedrock Data Automation envoieAWS KMS. Voici un exemple d'AWS CloudTrailévénement permettant de [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)surveiller les AWS KMS opérations appelées par Amazon Bedrock Data Automation pour créer une subvention principale :
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForDataAutomation/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForDataAutomation",
"accountId": "111122223333",
"userName": "RoleForDataAutomation"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"constraints": {
"encryptionContextSubset": {
"aws:bedrock:data-automation-customer-account-id": "000000000000"
}
},
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Chiffrement des ressources de l’agent
Le chiffrement des données au repos par défaut permet de réduire les frais opérationnels et la complexité liés à la protection des données sensibles. Dans le même temps, il vous permet de créer des applications sécurisées qui répondent aux exigences réglementaires et de conformité strictes en matière de chiffrement.
Amazon Bedrock utilise des clés détenues par AWS par défaut pour chiffrer automatiquement les informations de l’agent. Cela inclut les données du plan de contrôle et les données de session. Vous ne pouvez pas afficher, gérer ou auditer l’utilisation des clés détenues par AWS. Pour plus d’informations, consultez [Clés détenues par AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk).
Bien que vous ne puissiez pas désactiver cette couche de chiffrement, vous pouvez choisir d’utiliser des clés gérées par le client plutôt que des clés détenues par AWS pour chiffrer les informations de l’agent. Amazon Bedrock prend en charge l’utilisation de clés symétriques gérées par le client (CMK) que vous pouvez créer, détenir et gérer au lieu du chiffrement détenu par AWS par défaut. Pour plus d’informations, consultez [Clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
**Important**
Amazon Bedrock chiffre automatiquement les informations de session de votre agent à l’aide de clés détenues par AWS, sans frais.
Des frais AWS KMS s’appliquent pour une clé gérée par le client. Pour plus d’informations sur la tarification, consultez [Tarification du service de gestion des clés AWS](https://aws.amazon.com/kms/pricing/).
Si vous avez créé votre agent *avant* le 22 janvier 2025 et que vous souhaitez utiliser une clé gérée par le client pour chiffrer les ressources de l’agent, suivez les instructions relatives au [Chiffrement des ressources des agents pour les agents créés avant le 22 janvier 2025](encryption-agents.md).
# Chiffrement des ressources de l’agent à l’aide de clés gérées par le client (CMK)
Vous pouvez à tout moment créer une clé gérée par le client pour chiffrer les informations de votre agent à l’aide des informations d’agent suivantes fournies lors de la création de votre agent.
**Note**
Les ressources d’agent suivantes ne seront cryptées que pour les agents créés après le 22 janvier 2025.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/bedrock/latest/userguide/cmk-agent-resources.html)
Pour utiliser une clé gérée par le client, procédez comme suit :
1. Créez une clé gérée par le client avec AWS Key Management Service.
1. Créez une stratégie de clé et attachez-la à la clé gérée par le client
## Création d’une clé gérée par le client
Vous pouvez créer une clé symétrique gérée par le client à l'aide de la console AWS de gestion ou du AWS Key Management Service APIs.
Assurez-vous d’abord que vous disposez des autorisations `CreateKey`, puis suivez les étapes de la rubrique [Création d’une clé symétrique gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) dans le *Guide du développeur AWS Key Management Service *.
**Stratégie de clé** : les stratégies de clé contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d’informations, consultez [Gestion de l’accès à la clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) dans le *Guide du développeur AWS Key Management Service *.
Si vous avez créé votre agent après le 22 janvier 2025 et que vous souhaitez utiliser une clé gérée par le client pour chiffrer les informations de votre agent, assurez-vous que l’utilisateur ou le rôle qui appelle les opérations d’API de l’agent dispose des autorisations suivantes dans la stratégie de clé :
+ [kms : GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — renvoie une clé de données symétrique unique à utiliser en dehors de AWS KMS.
+ [KMS:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) : déchiffre le texte chiffré par une clé KMS.
La création de la clé renvoie un `Arn` pour la clé que vous pouvez utiliser en tant que `customerEncryptionKeyArn`, lors de la création de votre agent.
## Création d’une stratégie de clé et association à la clé gérée par le client
Si vous chiffrez les ressources d’agent à l’aide d’une clé gérée par le client, vous devez configurer une stratégie basée sur l’identité et une stratégie basée sur les ressources pour permettre à Amazon Bedrock de chiffrer et de déchiffrer les ressources de l’agent en votre nom.
**Politique basée sur l'identité**
Associez la politique basée sur l'identité suivante à un rôle ou à un utilisateur IAM autorisé à passer des appels à un agent chargé de chiffrer et de déchiffrer APIs les ressources de l'agent en votre nom. Cette politique confirme que l'utilisateur effectuant un appel d'API dispose d' AWS KMS autorisations. Remplacez `${region}`, `${account-id}`, `${agent-id}` et `${key-id}` par les valeurs appropriées.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptAgents",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
**Politique basée sur les ressources**
Associez la politique basée sur les ressources suivante à votre AWS KMS clé *uniquement* si vous créez des groupes d'action dans lesquels le schéma d'Amazon S3 est chiffré. Il n’est pas nécessaire d’attacher une stratégie basée sur les ressources pour les autres cas d’utilisation.
Pour attacher la stratégie basée sur les ressources suivante, modifiez la portée des autorisations si nécessaire et remplacez les valeurs `${region}`, `${account-id}`, `${agent-id}` et `${key-id}` par les valeurs appropriées.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}"
},
{
"Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
## Modification de la clé gérée par le client
Les agents Amazon Bedrock ne prennent pas en charge le rechiffrement des agents versionnés lorsque la clé gérée par le client associée à l'agent *DRAFT* est modifiée ou lorsque vous passez d'une clé gérée par le client à AWS une clé détenue. Seules les données pour la ressource *DRAFT* seront rechiffrées avec la nouvelle clé.
Assurez-vous de ne pas supprimer les autorisations pour les clés d’un agent versionné si vous l’utilisez pour traiter des données de production.
Pour voir et vérifier les clés utilisées par une version, appelez [GetAgentVersion](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_GetAgentVersion.html)et vérifiez-les `customerEncryptionKeyArn` dans la réponse.
# Chiffrement des sessions d’agents avec une clé gérée par le client (CMK)
Si vous avez activé la mémoire pour votre agent et si vous chiffrez les sessions de l’agent à l’aide d’une clé gérée par le client, vous devez configurer la stratégie de clé suivante et les autorisations IAM de l’identité d’appel pour configurer votre clé gérée par le client.
**Politique clé gérée par le client**
Amazon Bedrock utilise ces autorisations pour générer des clés de données chiffrées, puis utilise les clés générées pour chiffrer la mémoire de l’agent. Amazon Bedrock a également besoin d’autorisations pour rechiffrer la clé de données générée dans différents contextes de chiffrement. Les autorisations de rechiffrement sont également utilisées lorsque la clé gérée par le client passe d’une clé gérée par le client à une autre clé détenue par le service. Pour plus d’informations, consultez [Trousseau hiérarchique](https://docs.aws.amazon.com//database-encryption-sdk/latest/devguide/use-hierarchical-keyring.html).
Remplacez `$region`, `account-id` et `${caller-identity-role}` par les valeurs appropriées.
```
{
"Version": "2012-10-17",
{
"Sid": "Allow access for bedrock to enable long term memory",
"Effect": "Allow",
"Principal": {
"Service": [
"bedrock.amazonaws.com",
],
},
"Action": [
"kms:GenerateDataKeyWithoutPlainText",
"kms:ReEncrypt*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "$account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:bedrock:$region:$account-id:agent-alias/*"
}
}
"Resource": "*"
},
{
"Sid": "Allow the caller identity control plane permissions for long term memory",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}"
},
"Action": [
"kms:GenerateDataKeyWithoutPlainText",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*"
}
}
},
{
"Sid": "Allow the caller identity data plane permissions to decrypt long term memory",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*",
"kms:ViaService": "bedrock.$region.amazonaws.com"
}
}
}
}
```
**Autorisations IAM pour chiffrer et déchiffrer la mémoire de l’agent**
Les autorisations IAM suivantes sont nécessaires pour que l’identité appelant l’API Agents puisse configurer la clé KMS pour les agents dont la mémoire est activée. Les agents Amazon Bedrock utilisent ces autorisations pour s'assurer que l'identité de l'appelant est autorisée à disposer des autorisations mentionnées dans la politique clé ci-dessus APIs pour gérer, former et déployer des modèles. Pour les agents APIs qui invoquent, l'agent Amazon Bedrock utilise les `kms:Decrypt` autorisations de l'identité de l'appelant pour déchiffrer la mémoire.
Remplacez `$region`, `account-id` et `${key-id}` par les valeurs appropriées.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AgentsControlPlaneLongTermMemory",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKeyWithoutPlaintext",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent-alias/*"
}
}
},
{
"Sid": "AgentsDataPlaneLongTermMemory",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent-alias/*"
}
}
}
]
}
```
------
# Bonnes pratiques de sécurité préventive pour les agents
Les bonnes pratiques suivantes pour Amazon Bedrock peuvent vous aider à éviter des incidents de sécurité :
**Utilisez des connexions sécurisées**
Utilisez toujours des connexions chiffrées, telles que celles qui commencent par `https://` pour protéger les informations sensibles pendant le transport.
**Mettre en œuvre un accès aux ressources sur la base du moindre privilège**
Lorsque vous créez des stratégies personnalisées pour Amazon Bedrock, accordez uniquement les autorisations requises pour exécuter une seule tâche. Il est recommandé de commencer avec un minimum d’autorisations et d’en accorder d’autres si nécessaire. L’implémentation d’un accès sur la base du moindre privilège est essentielle pour réduire les risques et l’impact que pourraient avoir des d’erreurs ou des actes de malveillance. Pour plus d’informations, consultez [Gestion des identités et des accès pour Amazon Bedrock](security-iam.md).
**Ne pas inclure de données d’identification personnelle dans les ressources de l’agent contenant des données clients**
Lors de la création, de la mise à jour et de la suppression d'agents, les ressources (par exemple, lors de leur utilisation [CreateAgent](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_CreateAgent.html)) n'incluent pas d'informations personnelles identifiables (PII) dans les champs qui ne prennent pas en charge l'utilisation de clés gérées par le client, tels que les noms des groupes d'actions et les noms des bases de connaissances. Pour obtenir la liste des champs qui prennent en charge l’utilisation d’une clé gérée par le client, consultez [Chiffrement des ressources de l’agent à l’aide de clés gérées par le client (CMK)](cmk-agent-resources.md)
# Chiffrement des ressources des agents pour les agents créés avant le 22 janvier 2025
**Important**
Si vous avez créé votre agent *après* le 22 janvier 2025, suivez les instructions relatives au [Chiffrement des ressources de l’agent](encryption-agents-new.md)
Amazon Bedrock chiffre les informations de session de l’agent. Par défaut, Amazon Bedrock chiffre ces données à l'aide d'une clé AWS gérée. Vous avez aussi la possibilité de chiffrer les artefacts de l’agent à l’aide d’une clé gérée par le client.
Pour plus d'informationsAWS KMS keys, consultez la section [Clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) dans le *Guide du AWS Key Management Service développeur*.
Si vous chiffrez des sessions avec l’agent à l’aide d’une clé KMS personnalisée, vous devez configurer la politique suivante basée sur l’identité et la politique suivante basée sur les ressources pour permettre à Amazon Bedrock de chiffrer et de déchiffrer les ressources de l’agent en votre nom.
1. Associez la politique suivante basée sur l’identité à un rôle ou à un utilisateur IAM avec les autorisations requises pour envoyer des appels à `InvokeAgent`. Cette politique valide que l’utilisateur effectuant un appel `InvokeAgent` dispose des autorisations KMS. Remplacez *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1agent-id\$1* et *\$1\$1key-id\$1* par les valeurs appropriées.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptDecryptAgents",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/agent-id"
}
}
}
]
}
```
------
1. Attachez la politique suivante basée sur les ressources à votre clé KMS. Modifiez l’étendue des autorisations si nécessaire. Remplacez *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1agent-id\$1* et *\$1\$1key-id\$1* par les valeurs appropriées.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRootModifyKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
},
{
"Sid": "AllowBedrockEncryptAgent",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/AgentId"
}
}
},
{
"Sid": "AllowRoleEncryptAgent",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/Role"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
},
{
"Sid": "AllowAttachmentPersistentResources",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
]
}
```
------
# Chiffrement des ressources Amazon Bedrock Flows
Amazon Bedrock chiffre vos données au repos. Par défaut, Amazon Bedrock chiffre ces données à l’aide d’une clé gérée par AWS. Vous pouvez éventuellement chiffrer les données à l’aide d’une clé gérée par le client.
Pour plus d'informationsAWS KMS keys, consultez la section [Clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) dans le *Guide du AWS Key Management Service développeur*.
Si vous chiffrez des données à l’aide d’une clé KMS personnalisée, vous devez configurer la politique suivante basée sur l’identité et la politique suivante basée sur les ressources pour permettre à Amazon Bedrock de chiffrer et déchiffrer les données en votre nom.
1. Attachez la politique suivante basée sur l’identité à un rôle ou utilisateur IAM avec les autorisations requises pour effectuer des appels d’API Amazon Bedrock Flows. Cette politique vérifie que l’utilisateur effectuant des appels Amazon Bedrock Flows dispose des autorisations KMS. Remplacez *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1flow-id\$1* et *\$1\$1key-id\$1* par les valeurs appropriées.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptFlow",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/${flow-id}",
"kms:ViaService": "bedrock.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
1. Attachez la politique suivante basée sur les ressources à votre clé KMS. Modifiez l’étendue des autorisations si nécessaire. Remplacez les valeurs *\$1IAM-USER/ROLE-ARN\$1* *\$1\$1region\$1**\$1\$1account-id\$1*,*\$1\$1flow-id\$1*, et *\$1\$1key-id\$1* par les valeurs appropriées.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRootModifyKMSId",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
},
{
"Sid": "AllowRoleUseKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/RoleName"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/FlowId",
"kms:ViaService": "bedrock.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
1. Pour les [exécutions de flux](flows-create-async.md), associez la politique basée sur l’identité suivante à un [rôle de service disposant des autorisations nécessaires pour créer et gérer des flux](flows-permissions.md). Cette politique confirme que votre rôle de service dispose d'AWS KMSautorisations. Remplacez *region*, *account-id*, *flow-id* et *key-id* par les valeurs appropriées.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptionFlows",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/flow-id",
"kms:ViaService": "bedrock.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
# Chiffrement des ressources des bases de connaissances
Amazon Bedrock chiffre les ressources liées à vos bases de connaissances. Par défaut, Amazon Bedrock chiffre ces données à l'aide d'une AWS clé qui lui appartient. Vous pouvez éventuellement chiffrer les artefacts du modèle à l’aide d’une clé gérée par le client.
Le chiffrement avec une clé KMS peut être effectué à l’aide des processus suivants :
+ Stockage des données transitoires lors de l’ingestion des sources de données
+ Transmission d'informations au OpenSearch Service si vous autorisez Amazon Bedrock à configurer votre base de données vectorielle
+ Interrogation d’une base de connaissances
Les ressources suivantes utilisées par vos bases de connaissances peuvent être chiffrées à l’aide d’une clé KMS. Si vous les chiffrez, vous devez ajouter des autorisations pour déchiffrer la clé KMS.
+ Sources de données stockées dans un compartiment Amazon S3.
+ Stockages vectoriels tiers
Pour plus d'informations AWS KMS keys, consultez la section [Clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) dans le *Guide du AWS Key Management Service développeur*.
**Note**
Les bases de connaissances Amazon Bedrock utilisent le chiffrement TLS pour communiquer avec des connecteurs de sources de données tiers et des magasins de vecteurs lorsque le fournisseur autorise et prend en charge le chiffrement TLS en transit.
**Topics**
+ [Chiffrement du stockage des données transitoires lors de l’ingestion de données](#encryption-kb-ingestion)
+ [Chiffrement des informations transmises à Amazon OpenSearch Service](#encryption-kb-oss)
+ [Chiffrement des informations transmises à Amazon S3 Vectors](#encryption-kb-s3-vector)
+ [Chiffrement de la récupération des bases de connaissances](#encryption-kb-runtime)
+ [Autorisations pour déchiffrer votre AWS KMS clé pour vos sources de données dans Amazon S3](#encryption-kb-ds)
+ [Autorisations permettant de déchiffrer un AWS Secrets Manager secret pour le magasin de vecteurs contenant votre base de connaissances](#encryption-kb-3p)
+ [Autorisations pour Bedrock Data Automation (BDA) avec chiffrement AWS KMS](#encryption-kb-bda)
## Chiffrement du stockage des données transitoires lors de l’ingestion de données
Lorsque vous configurez une tâche d’ingestion de données pour votre base de connaissances, vous pouvez la chiffrer à l’aide d’une clé KMS personnalisée.
Pour autoriser la création d'une AWS KMS clé pour le stockage de données transitoires lors du processus d'ingestion de votre source de données, associez la politique suivante à votre rôle de service Amazon Bedrock. Remplacez les valeurs d'exemple par votre propre AWS région, votre numéro de compte et votre numéro de AWS KMS clé.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
## Chiffrement des informations transmises à Amazon OpenSearch Service
Si vous choisissez de laisser Amazon Bedrock créer une boutique vectorielle dans Amazon OpenSearch Service pour votre base de connaissances, Amazon Bedrock peut transmettre une clé KMS que vous choisissez à Amazon OpenSearch Service à des fins de chiffrement. Pour en savoir plus sur le chiffrement dans Amazon OpenSearch Service, consultez la section [Chiffrement dans Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html).
## Chiffrement des informations transmises à Amazon S3 Vectors
Si vous choisissez de laisser Amazon Bedrock créer un compartiment vectoriel et un index vectoriel dans Amazon S3 Vectors pour votre base de connaissances, Amazon Bedrock peut transmettre une clé KMS de votre choix à Amazon S3 Vectors à des fins de chiffrement. Pour plus d’informations sur le chiffrement dans Amazon S3 Vectors, consultez [Chiffrement avec Amazon S3 Vectors](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-vectors-bucket-encryption.html).
## Chiffrement de la récupération des bases de connaissances
Vous pouvez chiffrer les sessions au cours desquelles vous générez des réponses en interrogeant une base de connaissances à l’aide d’une clé KMS. Pour ce faire, incluez l'ARN d'une clé KMS dans le `kmsKeyArn` champ lorsque vous faites une [RetrieveAndGenerate](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html)demande. Joignez la politique suivante, en remplaçant les valeurs d'exemple par votre propre AWS région, votre numéro de compte et votre identifiant de AWS KMS clé pour permettre à Amazon Bedrock de chiffrer le contexte de session.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
## Autorisations pour déchiffrer votre AWS KMS clé pour vos sources de données dans Amazon S3
Vous stockez les sources de données de votre base de connaissances dans votre compartiment Amazon S3. Pour chiffrer ces documents au repos, vous pouvez utiliser l’option de chiffrement côté serveur SSE-S3 d’Amazon S3. Avec cette option, les objets sont chiffrés avec des clés de service gérées par le service Amazon S3.
Pour plus d'informations, consultez la section [Protection des données à l'aide du chiffrement côté serveur avec les clés de chiffrement gérés par Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) dans le *Guide de l'utilisateur Amazon Simple Storage Service*.
Si vous avez chiffré vos sources de données dans Amazon S3 avec une AWS KMS clé personnalisée, associez la politique suivante à votre rôle de service Amazon Bedrock afin de permettre à Amazon Bedrock de déchiffrer votre clé. Remplacez les valeurs d'exemple par votre propre AWS région, votre numéro de compte et votre numéro de AWS KMS clé.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"KMS:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Autorisations permettant de déchiffrer un AWS Secrets Manager secret pour le magasin de vecteurs contenant votre base de connaissances
Si le magasin vectoriel contenant votre base de connaissances est configuré avec un AWS Secrets Manager secret, vous pouvez le chiffrer avec une AWS KMS clé personnalisée en suivant les étapes décrites dans la section [Chiffrement secret et déchiffrement](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) dans. AWS Secrets Manager
Dans ce cas, associez la politique suivante à votre fonction du service Amazon Bedrock pour lui permettre de déchiffrer la clé. Remplacez les valeurs d'exemple par votre propre AWS région, votre numéro de compte et votre numéro de AWS KMS clé.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
## Autorisations pour Bedrock Data Automation (BDA) avec chiffrement AWS KMS
Lorsque vous utilisez BDA pour traiter du contenu multimodal à l'aide de AWS KMS clés gérées par le client, des autorisations supplémentaires sont requises en plus des autorisations standard. AWS KMS
Associez la politique suivante à votre rôle de service Amazon Bedrock afin de permettre à BDA de travailler avec des fichiers multimédia chiffrés. Remplacez les valeurs d'exemple par votre propre AWS région, votre numéro de compte et votre numéro de AWS KMS clé.
```
{
"Sid": "KmsPermissionStatementForBDA",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "account-id",
"kms:ViaService": "bedrock.region.amazonaws.com"
}
}
}
```
Les autorisations spécifiques à la BDA incluent les `kms:CreateGrant` actions `kms:DescribeKey` et les actions requises pour que BDA puisse traiter des fichiers audio, vidéo et image chiffrés.