Comment Amazon Bedrock utilise les subventions dans AWS KMS Création d’une clé gérée par le client et attachement d’une stratégie de clé Autorisations et politiques clés pour les ressources d'automatisation des Amazon Bedrock données Contexte de chiffrement d’automatisation Amazon Bedrock Surveillance de vos clés de chiffrement pour l'automatisation Amazon Bedrock des données

Chiffrement dans l'automatisation Amazon Bedrock des données

Amazon BedrockData Automation (BDA) utilise le chiffrement pour protéger vos données au repos. Cela inclut les plans, les projets et les insights extraits stockés par le service. BDA propose deux options de chiffrement de vos données :

AWSclés détenues : par défaut, BDA chiffre vos données à l'aide de clés AWS détenues. Vous ne pouvez pas afficher, gérer ou utiliser les clés que vous AWS possédez, ni auditer leur utilisation. Toutefois, vous n’avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d'informations, consultez la section sur les clés AWS détenues dans le Guide du développeur du service de gestion des AWS clés.
Clés gérées par le client : vous pouvez choisir de chiffrer vos données avec des clés gérées par le client que vous gérez vous-même. Pour plus d'informations sur AWS KMS les clés, consultez la section Clés gérées par le client dans le Guide du développeur du service de gestion des AWS clés. BDA ne prend pas en charge les clés gérées par le client destinées à être utilisées dans la console Amazon Bedrock, uniquement pour les opérations d’API.

Amazon BedrockL'automatisation des données active automatiquement le chiffrement au repos à l'aide de clés AWS détenues gratuitement. Si vous utilisez une clé gérée par le client, AWS KMS des frais s'appliquent. Pour plus d'informations sur la tarification, consultez la section AWS KMS tarification.

Comment Amazon Bedrock utilise les subventions dans AWS KMS

Si vous spécifiez une clé gérée par le client pour le chiffrement de votre BDA lorsque vous appelez invokeDataAutomation Async, le service crée une subvention associée à vos ressources en votre nom en envoyant une CreateGrant demande à. AWS KMS Cet octroi permet à BDA d’accéder à votre clé gérée par le client et de l’utiliser.

BDA utilise l’octroi pour votre clé gérée par le client pour les opérations internes suivantes :

DescribeKey — Envoyez des demandes AWS KMS à pour vérifier que l'identifiant de AWS KMS clé symétrique géré par le client que vous avez fourni est valide.
GenerateDataKey et déchiffrer : envoyez des demandes AWS KMS pour générer des clés de données chiffrées par la clé gérée par votre client et pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos ressources.
CreateGrant — Envoyez des demandes AWS KMS à pour créer des autorisations délimitées avec un sous-ensemble des opérations ci-dessus (DescribeKey,, Decrypt) GenerateDataKey, pour l'exécution asynchrone des opérations.

Vous avez un accès complet à votre AWS KMS clé gérée par le client. Vous pouvez révoquer l’accès à l’octroi en suivant les étapes de Retrait et révocation d’octrois dans le Guide du développeur AWS KMS ou supprimer l’accès du service à votre clé gérée par le client à tout moment en modifiant la stratégie de clé. Dans ce cas, BDA ne peut pas accéder aux ressources chiffrées par votre clé.

Si vous lancez un nouvel appel invokeDataAutomation asynchrone après avoir révoqué une autorisation, BDA la recréera. Les octrois sont retirés par BDA au bout de 30 heures.

Création d’une clé gérée par le client et attachement d’une stratégie de clé

Pour chiffrer des ressources BDA à l’aide d’une clé que vous créez et gérez, suivez ces étapes générales :

(Prérequis) Assurez-vous que votre rôle IAM dispose des autorisations nécessaires pour effectuer l' CreateKey action.
Suivez les étapes de la section Création de clés pour créer une clé gérée par le client à l'aide de la AWS KMS console ou de l' CreateKey opération.
La création de la clé renvoie un ARN que vous pouvez utiliser pour les opérations qui nécessitent l'utilisation de la clé (par exemple, lors de la création d'un projet ou d'un plan dans BDA), comme l'opération invokeDataAutomation Async.
Créez une stratégie de clé et associez-la à la clé avec les autorisations requises. Pour créer une politique clé, suivez les étapes décrites dans la section Création d'une politique clé dans le guide du AWS KMS développeur.

Autorisations et politiques clés pour les ressources d'automatisation des Amazon Bedrock données

Après avoir créé une AWS KMS clé, vous devez y associer une politique clé. Les actions AWS KMS suivantes sont utilisées pour les clés qui chiffrent les ressources BDA :

kms:CreateGrant — Crée une subvention pour une clé gérée par le client en autorisant le service BDA à accéder à la AWS KMS clé spécifiée par le biais des opérations de subvention nécessaires pour InvokeDataAutomationAsync.
kms:DescribeKey — Fournit les informations clés gérées par le client pour permettre à BDA de valider la clé.
kms:GenerateDataKey — Fournit au client les informations clés gérées par le client pour permettre à BDA de valider l'accès des utilisateurs.
kms:Déchiffrer : déchiffre le texte chiffré stocké pour vérifier que le rôle dispose d'un accès approprié à la AWS KMS clé qui chiffre les ressources BDA.

Stratégie de clé pour l’automatisation des données Amazon Bedrock

Pour chiffrer les ressources BDA à l’aide de votre clé gérée par le client, incluez les instructions suivantes dans votre stratégie de clé et remplacez ${account-id}, ${region} et ${key-id} par vos valeurs spécifiques :

Autorisations relatives aux rôles IAM

Le rôle IAM utilisé pour interagir avec BDA AWS KMS doit disposer des autorisations suivantes, remplacer ${region}${account-id}, et ${key-id} avec vos valeurs spécifiques :

Contexte de chiffrement d’automatisation Amazon Bedrock

BDA utilise le même contexte de chiffrement dans toutes les opérations AWS KMS cryptographiques, où la clé se trouve aws:bedrock:data-automation-customer-account-id et la valeur est votre identifiant de AWS compte. Vous trouverez ci-dessous un exemple de contexte de chiffrement.



"encryptionContext": {
     "bedrock:data-automation-customer-account-id": "account id"
}

Utilisation du contexte de chiffrement à des fins de surveillance

Lorsque vous chiffrez vos données à l’aide d’une clé symétrique gérée par le client, vous pouvez également identifier la manière dont la clé gérée par le client est utilisée à l’aide du contexte de chiffrement dans les enregistrements et les journaux d’audit. Le contexte de chiffrement apparaît également dans les journaux générés par AWS CloudTrail ou Amazon CloudWatch Logs.

Contrôle de l’accès à votre clé gérée par le client à l’aide du contexte de chiffrement

Vous pouvez utiliser le contexte de chiffrement dans les stratégies de clé et les politiques IAM en tant que conditions pour contrôler l’accès à votre clé symétrique gérée par le client. Vous pouvez également utiliser des contraintes de contexte de chiffrement dans un octroi. BDA contrôle l’accès à la clé gérée par le client dans votre compte ou région à l’aide d’une contrainte de contexte de chiffrement dans les octrois. La contrainte d’octroi exige que les opérations autorisées par l’octroi utilisent le contexte de chiffrement spécifié.

Vous trouverez ci-dessous des exemples de déclarations de stratégie de clé permettant d’accorder l’accès à une clé gérée par le client dans un contexte de chiffrement spécifique. La condition énoncée dans cette instruction de stratégie exige que les octrois comportent une contrainte de contexte de chiffrement qui spécifie le contexte de chiffrement.



[
    {
        "Sid": "Enable DescribeKey, Decrypt, GenerateDataKey",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
        },
        "Action": ["kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey"],
        "Resource": "*"
    },
    {
        "Sid": "Enable CreateGrant",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
        },
        "Action": "kms:CreateGrant",
        "Resource": "*",
        "Condition": {
            "StringLike": {
                "kms:EncryptionContext:aws:bedrock:data-automation-customer-account-id": "111122223333"
            },
            "StringEquals": {
                "kms:GrantOperations": ["Decrypt", "DescribeKey", "GenerateDataKey"]
            }
        }
    }
]

Surveillance de vos clés de chiffrement pour l'automatisation Amazon Bedrock des données

Lorsque vous utilisez une clé gérée par le AWS KMS client avec vos ressources d'automatisation des Amazon Bedrock données, vous pouvez utiliser AWS CloudTrailou Amazon CloudWatchsuivre les demandes auxquelles Amazon Bedrock Data Automation envoieAWS KMS. Voici un exemple d'AWS CloudTrailévénement permettant de CreateGrantsurveiller les AWS KMS opérations appelées par Amazon Bedrock Data Automation pour créer une subvention principale :


{
    "eventVersion": "1.09",
        "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/RoleForDataAutomation/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE",
        "sessionContext": {
        "sessionIssuer": {
        "type": "Role",
        "principalId": "AROAIGDTESTANDEXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/RoleForDataAutomation",
        "accountId": "111122223333",
        "userName": "RoleForDataAutomation"
        },
        "attributes": {
        "creationDate": "2024-05-07T21:46:28Z",
        "mfaAuthenticated": "false"
    }
    },
    "invokedBy": "bedrock.amazonaws.com"
    },
    "eventTime": "2024-05-07T21:49:44Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "bedrock.amazonaws.com",
    "userAgent": "bedrock.amazonaws.com",
    "requestParameters": {
    "granteePrincipal": "bedrock.amazonaws.com",
    "retiringPrincipal": "bedrock.amazonaws.com",
    "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
     "constraints": {
            "encryptionContextSubset": {
                "aws:bedrock:data-automation-customer-account-id": "000000000000"
            }
        },
    "operations": [
    "Decrypt",
    "CreateGrant",
    "GenerateDataKey",
    "DescribeKey"
    ]
    },
    "responseElements": {
    "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
    "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
    {
    "accountId": "111122223333",
    "type": "AWS::KMS::Key",
    "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Surveillance de vos clés de chiffrement pour le service Amazon Bedrock

Chiffrement des ressources de l’agent