Chiffrement des modèles personnalisés importés - Amazon Bedrock
Comment Amazon Bedrock utilise les subventions dans AWS KMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des modèles personnalisés importés

Amazon Bedrock prend en charge la création de modèles personnalisés par le biais de deux méthodes qui utilisent toutes deux la même approche de chiffrement. Vos modèles personnalisés sont gérés et stockés par AWS :

  • Tâches d’importation de modèles personnalisés : pour importer des modèles de fondation open source personnalisés (tels que les modèles Mistral AI et Llama).

  • Créer un modèle personnalisé : pour importer des modèles Amazon Nova que vous avez personnalisés dans SageMaker AI.

Pour le chiffrement de vos modèles personnalisés, Amazon Bedrock propose les options suivantes :

  • AWSclés détenues — Par défaut, Amazon Bedrock chiffre les modèles personnalisés importés à l'aide de clés AWS détenues. Vous ne pouvez pas afficher, gérer ou utiliser les clés que vous AWS possédez, ni auditer leur utilisation. Toutefois, vous n’avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d’informations, consultez Clés détenues par AWS dans le Guide du développeur AWS Key Management Service.

  • Clés gérées par le client (CMK) — Vous pouvez choisir d'ajouter une deuxième couche de chiffrement aux clés de chiffrement AWS détenues existantes en choisissant une clé gérée par le client (CMK). Vous créez, possédez et gérez les clés gérées par le client.

    Étant donné que vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :

    • Établissement et gestion des stratégies de clé

    • Établissement et gestion des politiques IAM et des octrois

    • Activation et désactivation des stratégies de clé

    • Rotation des matériaux de chiffrement de clé

    • Ajout de balises

    • Création d’alias de clé

    • Planification de clés pour suppression

    Pour plus d’informations, consultez Clés CMK dans le Guide du développeur AWS Key Management Service.

Note

Pour tous les modèles personnalisés que vous importez, Amazon Bedrock active automatiquement le chiffrement au repos à l'aide de clés AWS détenues afin de protéger gratuitement les données des clients. Si vous utilisez une clé gérée par le client, AWS KMS des frais s'appliquent. Pour plus d’informations sur la tarification, consultez Tarification d’AWS Key Management Service.

Comment Amazon Bedrock utilise les subventions dans AWS KMS

Si vous spécifiez une clé gérée par le client pour chiffrer le modèle importé. Amazon Bedrock crée une AWS KMS subvention principale associée au modèle importé en votre nom en envoyant une CreateGrantdemande àAWS KMS. Cet octroi permet à Amazon Bedrock d’accéder à votre clé gérée par le client et de l’utiliser. Les subventions AWS KMS sont utilisées pour donner à Amazon Bedrock l'accès à une clé KMS dans le compte d'un client.

Amazon Bedrock requiert l’octroi primaire d’utiliser votre clé gérée par le client pour les opérations internes suivantes :

  • Envoyez DescribeKeydes demandes AWS KMS à pour vérifier que l'ID de clé KMS symétrique géré par le client que vous avez saisi lors de la création de la tâche est valide.

  • Envoyez GenerateDataKeyet déchiffrez des demandes visant AWS KMS à générer des clés de données chiffrées par la clé gérée par votre client et à déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer les artefacts du modèle.

  • Envoyez des CreateGrantdemandes AWS KMS à pour créer des autorisations secondaires limitées avec un sous-ensemble des opérations ci-dessus (DescribeKey,,Decrypt)GenerateDataKey, pour l'exécution asynchrone de l'importation de modèles et pour l'inférence à la demande.

  • Amazon Bedrock indique un capital partant à la retraite lors de la création des subventions, afin que le service puisse envoyer une RetireGrantdemande.

Vous avez un accès complet à votre AWS KMS clé gérée par le client. Vous pouvez révoquer l’accès à l’octroi en suivant les étapes de Retrait et révocation d’octrois dans le Guide du développeur AWS Key Management Service ou supprimer l’accès du service à votre clé gérée par le client à tout moment en modifiant la stratégie de clé. Dans ce cas, Amazon Bedrock ne pourra pas accéder au modèle importé chiffré par votre clé.

Cycle de vie des subventions principales et secondaires pour les modèles importés personnalisés

  • Les octrois primaires ont une longue durée de vie et restent actifs tant que les modèles personnalisés associés sont toujours utilisés. Lorsqu’un modèle importé personnalisé est supprimé, l’octroi primaire correspondant est automatiquement retiré.

  • Les octrois secondaires sont de courte durée. Ils sont automatiquement retirés dès que l’opération effectuée par Amazon Bedrock pour le compte des clients est terminée. Par exemple, une fois qu’une tâche d’importation de modèle personnalisée est terminée, l’octroi secondaire qui autorisait Amazon Bedrock à chiffrer le modèle importé personnalisé est immédiatement retiré.