Autorisations et stratégies de clé pour les modèles Amazon Nova personnalisés Configurer les autorisations de clé pour le chiffrement et invoquer des modèles personnalisés

Chiffrement des tâches et des artefacts de personnalisation des modèles Amazon Nova

Pour plus d’informations sur le chiffrement de vos tâches de personnalisation de modèle et de vos artefacts dans Amazon Bedrock, consultez Chiffrement des tâches de personnalisation de modèle et des artefacts.

Rubriques

Autorisations et stratégies de clé pour les modèles Amazon Nova personnalisés
Configurer les autorisations de clé pour le chiffrement et invoquer des modèles personnalisés

Autorisations et stratégies de clé pour les modèles Amazon Nova personnalisés

Les instructions suivantes sont nécessaires pour établir les autorisations pour votre clé KMS.

Instruction PermissionsModelCustomization

Dans le champ Principal, ajoutez les comptes auxquels vous voulez autoriser les opérations Decrypt, GenerateDataKey, DescribeKey et CreateGrant à la liste à laquelle le sous-champ AWS est associé. Si vous utilisez la clé de condition kms:ViaService, vous pouvez ajouter une ligne pour chaque région ou utiliser * à la place de ${region} pour autoriser toutes les régions qui prennent en charge Amazon Bedrock.


{
    "Sid": "PermissionsModelCustomization",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::${account-id}:role/${customization-role}"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:DescribeKey",
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "bedrock.${region}.amazonaws.com"
            ] 
        }
    }
}

Instruction PermissionsModelInvocation

Dans le champ Principal, veuillez ajouter les comptes auxquels vous voulez autoriser les opérations Decrypt et GenerateDataKey à la liste à laquelle le sous-champ AWS est associé. Si vous utilisez la clé de condition kms:ViaService, vous pouvez ajouter une ligne pour chaque région ou utiliser * à la place de ${region} pour autoriser toutes les régions qui prennent en charge Amazon Bedrock.


{
    "Sid": "PermissionsModelInvocation",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::${account-id}:user/${invocation-role}"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "bedrock.${region}.amazonaws.com"
            ] 
        }
    }
}

Instruction PermissionsNovaProvisionedThroughput

Lorsque vous créez un débit alloué pour votre modèle Amazon Nova personnalisé, Amazon Bedrock effectue des optimisations d’inférence et de déploiement sur le modèle. Au cours de ce processus, Amazon Bedrock utilise la même clé KMS que celle utilisée pour créer le modèle personnalisé afin de maintenir le plus haut niveau de sécurité, à l’instar du modèle personnalisé lui-même.


{
    "Sid": "PermissionsNovaProvisionedThroughput",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "bedrock.amazonaws.com",
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "kms:EncryptionContextKeys": "aws:bedrock:custom-model"
        }
    }
 }

Configurer les autorisations de clé pour le chiffrement et invoquer des modèles personnalisés

Si vous prévoyez de procéder au chiffrement d’un modèle que vous personnalisez avec une clé KMS, la stratégie de clé pour la clé dépendra de votre cas d’utilisation. Développez la section qui correspond à votre cas d’utilisation :

Si les rôles qui invoqueront le modèle personnalisé sont les mêmes que ceux qui personnaliseront le modèle, vous n’avez besoin que des instructions PermissionsModelCustomization et PermissionsNovaProvisionedThroughput des instructions d’autorisation.

Dans le champ Principal, ajoutez les comptes que vous voulez autoriser à personnaliser et à invoquer le modèle personnalisé à la liste à laquelle le sous-champ AWS est mappé dans l’instruction PermissionsModelCustomization.
L’instruction PermissionsNovaProvisionedThroughput doit être ajoutée par défaut à la stratégie de clé avec bedrock.amazonaws.com comme principal de service autorisé, à condition que kms:EncryptionContextKeys soit utilisé.

Si les rôles qui invoqueront le modèle personnalisé sont différents du rôle qui personnalisera le modèle, vous avez besoin des trois instructions d’autorisation. Modifiez les instructions dans le modèle de stratégie suivant comme suit :

Dans le champ Principal, ajoutez les comptes que vous voulez autoriser à personnaliser uniquement le modèle personnalisé à la liste à laquelle le sous-champ AWS est mappé dans l’instruction PermissionsModelCustomization.
Dans le champ Principal, ajoutez les comptes que vous voulez autoriser à invoquer uniquement le modèle personnalisé à la liste à laquelle le sous-champ AWS est mappé dans l’instruction PermissionsModelInvocation.
L’instruction PermissionsNovaProvisionedThroughput doit être ajoutée par défaut à la stratégie de clé avec bedrock.amazonaws.com comme principal de service autorisé, à condition que kms:EncryptionContextKeys soit utilisé.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Id": "PermissionsCustomModelKey",
    "Statement": [
        {
            "Sid": "PermissionsModelCustomization",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/customization-role"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "PermissionsModelInvocation",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/invocation-role"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "PermissionsNovaPermissionedThroughput",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "bedrock.amazonaws.com"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": "aws:bedrock:custom-model"
                }
            }
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Peaufinage des modèles Amazon Nova

Préparation des données pour le peaufinage des modèles de compréhension