Chiffrement des données pour les tâches d’évaluation de base de connaissances - Amazon Bedrock
Éléments de politique et de stratégie requisExigences de la politique IAMAWS KMSprincipales exigences en matière de politique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des données pour les tâches d’évaluation de base de connaissances

Au cours d’une tâche d’évaluation de base de connaissances, Amazon Bedrock crée une copie temporaire de vos données. Amazon Bedrock supprime les données une fois la tâche terminée. Pour chiffrer les données, Amazon Bedrock utilise une clé KMS. Il s’agit soit d’une clé KMS que vous spécifiez, soit d’une clé détenue par Amazon Bedrock.

Amazon Bedrock a besoin de l'IAM et AWS KMS des autorisations indiquées dans les sections suivantes afin de pouvoir utiliser votre clé KMS pour effectuer les opérations suivantes :

  • Déchiffrer vos données

  • Chiffrer la copie temporaire créée par Amazon Bedrock

Lorsque vous créez une tâche d’évaluation de base de connaissances, vous pouvez choisir d’utiliser une clé KMS détenue par Amazon Bedrock, ou vous pouvez choisir votre propre clé gérée par le client. Si vous ne spécifiez pas de clé gérée par le client, Amazon Bedrock utilise sa clé par défaut.

Avant de pouvoir utiliser une clé gérée par le client, vous devez effectuer les opérations suivantes :

  • Ajouter les actions et ressources IAM requises à la politique du rôle de service IAM

  • Ajouter les éléments de stratégie de clé KMS requis

  • Créer une stratégie capable d’interagir avec votre clé gérée par le client. Ceci est spécifié dans une stratégie de clé KMS distincte.

Éléments de politique et de stratégie requis

Les stratégies de clé KMS et politiques IAM décrites dans les sections ci-après incluent les éléments obligatoires suivants :

  • kms:Decrypt : pour les fichiers que vous avez chiffrés avec votre clé KMS, fournit à Amazon Bedrock les autorisations nécessaires pour accéder à ces fichiers et les déchiffrer.

  • kms:GenerateDataKey : contrôle l’autorisation d’utiliser la clé KMS pour générer des clés de données. Amazon Bedrock utilise GenerateDataKey pour chiffrer les données temporaires qu’il stocke pour la tâche d’évaluation.

  • kms:DescribeKey : fournit des informations détaillées sur une clé KMS.

  • kms:ViaService— La clé de condition limite l'utilisation d'une clé KMS pour demander à AWS des services spécifiques. Vous devez spécifier les services suivants :

    • Amazon S3, car Amazon Bedrock stocke une copie temporaire de vos données dans un emplacement S3 dont il est propriétaire.

    • Amazon Bedrock, car le service d’évaluation appelle l’API Amazon Bedrock Knowledge Bases pour exécuter le flux de travail de la base de connaissances.

  • kms:EncryptionContext:context-key— Cette clé de condition limite l'accès aux AWS KMS opérations afin qu'elles ne soient spécifiques qu'au contexte de chiffrement fourni.

Exigences de la politique IAM

Dans le rôle IAM que vous utilisez avec Amazon Bedrock, la politique IAM associée doit comporter les éléments suivants. Pour en savoir plus sur la gestion de vos AWS KMS clés, consultez la section Utilisation des politiques IAM avec AWS KMS.

Les tâches d'évaluation de la base de connaissances dans Amazon Bedrock utilisent des clés AWS détenues. Pour plus d'informations sur les clés AWS détenues, consultez la section clés AWS détenues dans le Guide du AWS Key Management Service développeur.

Voici un exemple de politique IAM contenant uniquement les ressources et les actions AWS KMS requises :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": [
                        "s3.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEvalKMS",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockKBDecryption",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:knowledgeBaseArn": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockKBEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:knowledgeBaseArn": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
                },
                "StringEquals": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockKBGenerateDataKey",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:CustomerAwsAccountId": "123456789012",
                    "kms:EncryptionContext:SessionId": "*"
                },
                "StringEquals": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CustomKMSDescribeKeyProvidedToBedrock",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ]
        }
    ]
}

AWS KMSprincipales exigences en matière de politique

Chaque clé KMS doit avoir exactement une stratégie de clé. Les instructions dans la stratégie de clé déterminent qui a l’autorisation d’utiliser la clé KMS et la façon dont ces personnes peuvent l’utiliser. Vous pouvez également utiliser les octrois et les politiques IAM pour contrôler l’accès à la clé KMS, mais chaque clé KMS doit avoir une stratégie de clé.

Vous devez ajouter l’instruction suivante à votre stratégie de clé KMS existante. Elle fournit à Amazon Bedrock l’autorisation de stocker temporairement vos données dans un compartiment S3 en utilisant la clé KMS que vous avez spécifiée.

Configuration des autorisations KMS pour les rôles appelant CreateEvaluationJob l'API

Assurez-vous d'avoir DescribeKey GenerateDataKey, et déchiffrez les autorisations associées à votre rôle, utilisées pour créer la tâche d'évaluation sur la clé KMS que vous utilisez dans votre tâche d'évaluation.

Exemple de stratégie de clé KMS


{
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/APICallingRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kmsDescribeKey"
            ],
            "Resource": "*"
       }
   ]
}

Exemple de politique IAM pour l'API d'appel CreateEvaluationJob de rôles

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/keyYouUse"
            ]
        }
    ]
}