Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation d’une clé gérée par le client (CMK)
Si vous envisagez d’utiliser une clé gérée par le client pour chiffrer votre modèle importé personnalisé, procédez comme suit :
-
Créez une clé gérée par le client avec AWS Key Management Service.
-
Attachez une politique basée sur les ressources avec des autorisations pour les rôles spécifiés afin de créer et d’utiliser des modèles importés personnalisés.
Création d'une clé gérée par le client
Assurez-vous au préalable de disposer des autorisations CreateKey. Suivez ensuite les étapes de création de clés pour créer des clés gérées par le client, soit dans la AWS KMS console, soit dans le cadre de l'opération CreateKeyAPI. Assurez-vous de créer une clé de chiffrement symétrique.
La création de la clé renvoie un Arn pour la clé que vous pouvez utiliser comme importedModelKmsKeyId lors de l’importation d’un modèle personnalisé.
Création d’une stratégie de clé et association à la clé gérée par le client
Les stratégies de clé sont des stratégies basées sur les ressources que vous attachez à votre clé gérée par le client pour contrôler l’accès à celle-ci. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Vous pouvez spécifier une stratégie de clé lorsque vous créez votre clé gérée par le client. Vous pouvez modifier la stratégie de clé à tout moment, mais il se peut qu’il y ait un bref délai avant que le changement ne soit disponible à travers AWS KMS. Pour plus d’informations, consultez Gestion de l’accès aux clés gérées par le client dans le Guide du développeur AWSAWS Key Management Service.
Chiffrement d’un modèle personnalisé importé
Pour utiliser votre clé gérée par le client pour chiffrer un modèle personnalisé importé, vous devez inclure les AWS KMS opérations suivantes dans la politique de clé :
-
kms : CreateGrant — crée une subvention pour une clé gérée par le client en autorisant le principal du service Amazon Bedrock à accéder à la clé KMS spécifiée par le biais d'opérations de subvention. Pour en savoir plus sur les octrois, consultez Autorisations dans AWS KMS KMS dans le Guide du développeur AWS Key Management Service.
Note
Amazon Bedrock configure également un principal mis hors service et retire automatiquement l’octroi lorsqu’il n’est plus requis.
-
kms : DescribeKey — fournit les informations clés gérées par le client pour permettre à Amazon Bedrock de valider la clé.
-
kms : GenerateDataKey — Fournit les informations clés gérées par le client pour permettre à Amazon Bedrock de valider l'accès des utilisateurs. Amazon Bedrock stocke le texte chiffré généré conjointement avec le modèle personnalisé importé à utiliser comme contrôle de validation supplémentaire auprès des utilisateurs du modèle personnalisé importé
-
kms:Decrypt : déchiffre le texte chiffré stocké pour valider le fait que le rôle dispose d’un accès approprié à la clé KMS qui chiffre le modèle personnalisé importé.
Voici un exemple de politique que vous pouvez attacher à une clé pour un rôle que vous utiliserez afin de chiffrer les modèles que vous importez :
Déchiffrement d’un modèle personnalisé importé chiffré
Si vous importez un modèle personnalisé qui a déjà été chiffré par une autre clé gérée par le client, vous devez ajouter des autorisations kms:Decrypt pour le même rôle, conformément à la politique suivante :
