Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Enkripsi data
Amazon Bedrock menggunakan enkripsi untuk melindungi data saat istirahat dan data dalam perjalanan.
**Enkripsi dalam perjalanan**
Di dalam AWS, semua data antar-jaringan dalam perjalanan mendukung enkripsi TLS 1.2.
Permintaan ke Amazon Bedrock API dan konsol dibuat melalui koneksi aman (SSL). Anda meneruskan peran AWS Identity and Access Management (IAM) ke Amazon Bedrock untuk memberikan izin mengakses sumber daya atas nama Anda untuk pelatihan dan penerapan.
**Enkripsi saat istirahat**
Amazon Bedrock menyediakan [Enkripsi model khusus](encryption-custom-job.md) saat istirahat.
## Manajemen kunci
Gunakan AWS Key Management Service untuk mengelola kunci yang Anda gunakan untuk mengenkripsi sumber daya Anda. Untuk informasi lebih lanjut, lihat [AWS Key Management Service konsep](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys). Anda dapat mengenkripsi sumber daya berikut dengan kunci KMS.
+ Melalui Amazon Bedrock
+ Pekerjaan kustomisasi model dan model kustom outputnya — Selama pembuatan lowongan kerja di konsol atau dengan menentukan `customModelKmsKeyId` bidang dalam panggilan [CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)API.
+ Agen — Selama pembuatan agen di konsol atau dengan menentukan `customerEncryptionKeyArn` bidang dalam panggilan [CreateAgent](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateAgent.html)API.
+ Pekerjaan penyerapan sumber data untuk basis pengetahuan — Selama pembuatan basis pengetahuan di konsol atau dengan menentukan `kmsKeyArn` bidang dalam panggilan [CreateDataSource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateDataSource.html)atau [UpdateDataSource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_UpdateDataSource.html)API.
+ Toko vektor di Amazon OpenSearch Service — Selama pembuatan toko vektor. Untuk informasi selengkapnya, lihat [Membuat, mencantumkan, dan menghapus koleksi OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-manage.html) dan [Enkripsi data saat istirahat untuk OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html).
+ Pekerjaan evaluasi model — Saat Anda membuat pekerjaan evaluasi model di konsol atau dengan menentukan ARN kunci ` customerEncryptionKeyId` dalam panggilan API [CreateEvaluationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateEvaluationJob.html).
+ Melalui Amazon S3 — Untuk informasi selengkapnya, lihat [Menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)).
+ Pelatihan, validasi, dan data keluaran untuk kustomisasi model
+ Sumber data untuk basis pengetahuan
+ Melalui AWS Secrets Manager - Untuk informasi lebih lanjut, lihat [Enkripsi rahasia dan dekripsi](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) di AWS Secrets Manager
+ Toko vektor untuk model pihak ketiga
Setelah mengenkripsi sumber daya, Anda dapat menemukan ARN kunci KMS dengan memilih sumber daya dan melihat **Detailnya** di konsol atau dengan menggunakan panggilan API berikut`Get`.
+ [GetModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_GetModelCustomizationJob.html)
+ [GetAgent](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_GetAgent.html)
+ [GetIngestionJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_GetIngestionJob.html)
# Enkripsi model khusus
Amazon Bedrock menggunakan data pelatihan Anda dengan [CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)tindakan, atau dengan [konsol](model-customization-submit.md), untuk membuat model kustom yang merupakan versi yang disetel dengan baik dari model dasar Amazon Bedrock. Model kustom Anda dikelola dan disimpan olehAWS.
Amazon Bedrock menggunakan data fine tuning yang Anda berikan hanya untuk menyempurnakan model foundation Amazon Bedrock. Amazon Bedrock tidak menggunakan data fine tuning untuk tujuan lain apa pun. Data pelatihan Anda tidak digunakan untuk melatih Titan model dasar atau didistribusikan ke pihak ketiga. Data penggunaan lainnya, seperti cap waktu penggunaan, akun yang dicatat IDs, dan informasi lain yang dicatat oleh layanan, juga tidak digunakan untuk melatih model.
Tak satu pun dari data pelatihan atau validasi yang Anda berikan untuk fine tuning disimpan oleh Amazon Bedrock, setelah pekerjaan fine tuning selesai.
Perhatikan bahwa model yang disetel dengan baik dapat memutar ulang beberapa data fine tuning sambil menghasilkan penyelesaian. Jika aplikasi Anda tidak boleh mengekspos data fine tuning dalam bentuk apa pun, Anda harus terlebih dahulu menyaring data rahasia dari data pelatihan Anda. Jika Anda telah membuat model yang disesuaikan menggunakan data rahasia secara tidak sengaja, Anda dapat menghapus model kustom itu, menyaring informasi rahasia dari data pelatihan, dan kemudian membuat model baru.
Untuk mengenkripsi model khusus (termasuk model yang disalin), Amazon Bedrock menawarkan dua opsi:
1. **Kunci milik AWS**— Secara default, Amazon Bedrock mengenkripsi model khusus dengan. Kunci milik AWS Anda tidak dapat melihat, mengelola, atau menggunakanKunci milik AWS, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi lebih lanjut, lihat [Kunci milik AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) dalam *Panduan PengembangAWS Key Management Service*.
1. **Kunci terkelola pelanggan** - Anda dapat memilih untuk mengenkripsi model kustom dengan kunci terkelola pelanggan yang Anda kelola sendiri. Untuk informasi selengkapnyaAWS KMS keys, lihat [Kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS Key Management Service Pengembang*.
**catatan**
Amazon Bedrock secara otomatis mengaktifkan enkripsi saat istirahat menggunakan Kunci milik AWS tanpa biaya. Jika Anda menggunakan kunci yang dikelola pelanggan, AWS KMS dikenakan biaya. Untuk informasi selengkapnya tentang harga, silakan lihat [harga AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
Untuk informasi selengkapnyaAWS KMS, lihat [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/).
**Topics**
+ [Bagaimana Amazon Bedrock menggunakan hibah di AWS KMS](#encryption-br-grants)
+ [Memahami cara membuat kunci yang dikelola pelanggan dan cara melampirkan kebijakan kunci ke dalamnya](#encryption-key-policy)
+ [Izin dan kebijakan utama untuk model kustom dan disalin](#encryption-cm-statements)
+ [Pantau kunci enkripsi Anda untuk layanan Amazon Bedrock](#encryption-monitor-key)
+ [Enkripsi data pelatihan, validasi, dan output](#encryption-custom-job-data)
## Bagaimana Amazon Bedrock menggunakan hibah di AWS KMS
Jika Anda menentukan kunci yang dikelola pelanggan untuk mengenkripsi model kustom untuk penyesuaian model atau pekerjaan penyalinan model, Amazon Bedrock akan membuat [hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) KMS **utama** yang terkait dengan model kustom atas nama Anda dengan mengirimkan permintaan ke. [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)AWS KMS Hibah ini memungkinkan Amazon Bedrock untuk mengakses dan menggunakan kunci yang dikelola pelanggan Anda. Hibah AWS KMS digunakan untuk memberikan Amazon Bedrock akses ke kunci KMS di akun pelanggan.
Amazon Bedrock memerlukan hibah utama untuk menggunakan kunci terkelola pelanggan Anda untuk operasi internal berikut:
+ Kirim [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)permintaan AWS KMS untuk memverifikasi bahwa ID kunci KMS yang dikelola pelanggan simetris yang Anda masukkan saat membuat pekerjaan valid.
+ Kirim [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)dan [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) permintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci yang dikelola pelanggan Anda dan mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi artefak model.
+ Kirim [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)permintaan AWS KMS untuk membuat hibah sekunder cakupan ke bawah dengan subset dari operasi di atas (`DescribeKey`,,`Decrypt`), `GenerateDataKey` untuk eksekusi asinkron kustomisasi model, salinan model, atau pembuatan Throughput yang Disediakan.
+ Amazon Bedrock menentukan prinsipal pensiun selama pembuatan hibah, sehingga layanan dapat mengirim permintaan. [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)
Anda memiliki akses penuh ke AWS KMS kunci yang dikelola pelanggan Anda. [Anda dapat mencabut akses ke hibah dengan mengikuti langkah-langkah di [Pensiun dan mencabut hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grant-manage.html#grant-delete) di [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/) atau menghapus akses layanan ke kunci yang dikelola pelanggan Anda kapan saja dengan memodifikasi kebijakan utama.](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) Jika Anda melakukannya, Amazon Bedrock tidak akan dapat mengakses model khusus yang dienkripsi oleh kunci Anda.
### Siklus hidup hibah primer dan sekunder untuk model khusus
+ **Hibah primer** memiliki umur yang panjang dan tetap aktif selama model kustom terkait masih digunakan. Ketika model kustom dihapus, hibah utama yang sesuai secara otomatis dihentikan.
+ **Hibah sekunder** berumur pendek. Mereka secara otomatis pensiun segera setelah operasi yang dilakukan Amazon Bedrock atas nama pelanggan selesai. Misalnya, setelah pekerjaan penyalinan model selesai, hibah sekunder yang memungkinkan Amazon Bedrock mengenkripsi model kustom yang disalin akan segera dihentikan.
## Memahami cara membuat kunci yang dikelola pelanggan dan cara melampirkan kebijakan kunci ke dalamnya
Untuk mengenkripsi AWS sumber daya dengan kunci yang Anda buat dan kelola, Anda melakukan langkah-langkah umum berikut:
1. (Prasyarat) Pastikan bahwa peran IAM Anda memiliki izin untuk tindakan tersebut. [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)
1. Ikuti langkah-langkah di [Membuat kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) untuk membuat kunci yang dikelola pelanggan dengan menggunakan AWS KMS konsol atau [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi.
1. Pembuatan kunci mengembalikan kunci yang `Arn` dapat Anda gunakan untuk operasi yang memerlukan penggunaan kunci (misalnya, saat [mengirimkan pekerjaan penyesuaian model](model-customization-submit.md) atau [menjalankan inferensi model](inference-invoke.md)).
1. Buat dan lampirkan kebijakan kunci ke kunci dengan izin yang diperlukan. Untuk membuat kebijakan utama, ikuti langkah-langkah di [Membuat kebijakan utama](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) di Panduan AWS Key Management Service Pengembang.
## Izin dan kebijakan utama untuk model kustom dan disalin
Setelah Anda membuat kunci KMS, Anda melampirkan kebijakan kunci untuk itu. Kebijakan utama adalah [kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) yang Anda lampirkan ke kunci yang dikelola pelanggan untuk mengontrol akses ke sana. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Anda dapat menentukan kebijakan kunci saat membuat kunci terkelola pelanggan. Anda dapat mengubah kebijakan kunci kapan saja, tetapi mungkin ada penundaan singkat sebelum perubahan tersedia secara keseluruhanAWS KMS. Untuk informasi selengkapnya, lihat [Mengelola akses ke kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) di [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/).
[Tindakan](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions) KMS berikut digunakan untuk kunci yang mengenkripsi model kustom dan disalin:
1. [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) [— Membuat hibah untuk kunci yang dikelola pelanggan dengan mengizinkan akses utama layanan Amazon Bedrock ke kunci KMS yang ditentukan melalui operasi hibah.](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) Untuk informasi selengkapnya tentang hibah, lihat [Hibah AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) Panduan [AWS Key Management ServicePengembang](https://docs.aws.amazon.com/kms/latest/developerguide/).
**catatan**
Amazon Bedrock juga menyiapkan kepala sekolah pensiun dan secara otomatis menghentikan hibah setelah tidak lagi diperlukan.
1. [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan Amazon Bedrock memvalidasi kunci.
1. [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Menyediakan detail kunci yang dikelola pelanggan untuk memungkinkan Amazon Bedrock memvalidasi akses pengguna. Amazon Bedrock menyimpan ciphertext yang dihasilkan bersama model kustom untuk digunakan sebagai pemeriksaan validasi tambahan terhadap pengguna model kustom.
1. [KMS: Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) — Mendekripsi ciphertext yang disimpan untuk memvalidasi bahwa peran memiliki akses yang tepat ke kunci KMS yang mengenkripsi model kustom.
Sebagai praktik keamanan terbaik, kami menyarankan Anda menyertakan [kms: ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service) condition key untuk membatasi akses ke kunci ke layanan Amazon Bedrock.
Meskipun Anda hanya dapat melampirkan satu kebijakan kunci ke kunci, Anda dapat melampirkan beberapa pernyataan ke kebijakan kunci dengan menambahkan staement ke daftar di `Statement` bidang kebijakan.
Pernyataan berikut relevan untuk mengenkripsi model kustom dan disalin:
### Enkripsi model
Untuk menggunakan kunci terkelola pelanggan Anda untuk mengenkripsi model kustom atau disalin, sertakan pernyataan berikut dalam kebijakan kunci untuk mengizinkan enkripsi model. Di `Principal` bidang, tambahkan akun yang ingin Anda izinkan untuk mengenkripsi dan mendekripsi kunci ke daftar yang dipetakan oleh `AWS` subbidang tersebut. Jika Anda menggunakan tombol `kms:ViaService` kondisi, Anda dapat menambahkan baris untuk setiap Wilayah, atau gunakan *\$1* sebagai pengganti *\$1\$1region\$1* untuk mengizinkan semua Wilayah yang mendukung Amazon Bedrock.
```
{
"Sid": "PermissionsEncryptDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::${account-id}:role/${role}"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.${region}.amazonaws.com"
]
}
}
}
```
### Izinkan akses ke model terenkripsi
Untuk mengizinkan akses ke model yang telah dienkripsi dengan kunci KMS, sertakan pernyataan berikut dalam kebijakan kunci untuk mengizinkan dekripsi kunci. Di `Principal` bidang, tambahkan akun yang ingin Anda izinkan untuk mendekripsi kunci ke daftar yang dipetakan `AWS` subbidang. Jika Anda menggunakan tombol `kms:ViaService` kondisi, Anda dapat menambahkan baris untuk setiap Wilayah, atau gunakan *\$1* sebagai pengganti *\$1\$1region\$1* untuk mengizinkan semua Wilayah yang mendukung Amazon Bedrock.
```
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::${account-id}:role/${role}"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.${region}.amazonaws.com"
]
}
}
}
```
Untuk mempelajari kebijakan utama yang perlu Anda buat, perluas bagian yang sesuai dengan kasus penggunaan Anda:
### Siapkan izin kunci untuk mengenkripsi model khusus
Jika Anda berencana untuk mengenkripsi model yang Anda sesuaikan dengan kunci KMS, kebijakan kunci untuk kunci tersebut akan bergantung pada kasus penggunaan Anda. Perluas bagian yang sesuai dengan kasus penggunaan Anda:
#### Peran yang akan menyesuaikan model dan peran yang akan memanggil model adalah sama
Jika peran yang akan memanggil model kustom sama dengan peran yang akan menyesuaikan model, Anda hanya perlu pernyataan dari[Enkripsi model](#encryption-key-policy-encrypt). Di `Principal` bidang dalam templat kebijakan berikut, tambahkan akun yang ingin Anda izinkan untuk menyesuaikan dan memanggil model kustom ke daftar tempat `AWS` subbidang dipetakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCustomModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCustomModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
#### Peran yang akan menyesuaikan model dan peran yang akan memanggil model berbeda
Jika peran yang akan memanggil model kustom berbeda dari peran yang akan menyesuaikan model, Anda memerlukan pernyataan dari [Enkripsi model](#encryption-key-policy-encrypt) dan[Izinkan akses ke model terenkripsi](#encryption-key-policy-decrypt). Ubah pernyataan dalam templat kebijakan berikut sebagai berikut:
1. Pernyataan pertama memungkinkan enkripsi dan dekripsi kunci. Di `Principal` bidang, tambahkan akun yang ingin Anda izinkan untuk menyesuaikan model kustom ke daftar yang dipetakan `AWS` subbidang.
1. Pernyataan kedua hanya memungkinkan dekripsi kunci. Di `Principal` bidang, tambahkan akun yang hanya ingin Anda izinkan untuk memanggil model kustom ke daftar tempat `AWS` subbidang dipetakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCustomModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCustomModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
},
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
### Siapkan izin kunci untuk menyalin model kustom
Ketika Anda menyalin model yang Anda miliki atau yang telah dibagikan dengan Anda, Anda mungkin harus mengelola hingga dua kebijakan utama:
#### Kebijakan kunci untuk kunci yang akan mengenkripsi model yang disalin
Jika Anda berencana menggunakan kunci KMS untuk mengenkripsi model yang disalin, kebijakan kunci untuk kunci tersebut akan bergantung pada kasus penggunaan Anda. Perluas bagian yang sesuai dengan kasus penggunaan Anda:
##### Peran yang akan menyalin model dan peran yang akan memanggil model adalah sama
Jika peran yang akan memanggil model yang disalin sama dengan peran yang akan membuat salinan model, Anda hanya perlu pernyataan dari. [Enkripsi model](#encryption-key-policy-encrypt) Di `Principal` bidang dalam templat kebijakan berikut, tambahkan akun yang ingin Anda izinkan untuk menyalin dan memanggil model yang disalin ke daftar yang dipetakan `AWS` subbidang:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCopiedModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
##### Peran yang akan menyalin model dan peran yang akan memanggil model berbeda
Jika peran yang akan memanggil model yang disalin berbeda dari peran yang akan membuat salinan model, Anda memerlukan pernyataan dari [Enkripsi model](#encryption-key-policy-encrypt) dan. [Izinkan akses ke model terenkripsi](#encryption-key-policy-decrypt) Ubah pernyataan dalam templat kebijakan berikut sebagai berikut:
1. Pernyataan pertama memungkinkan enkripsi dan dekripsi kunci. Di `Principal` bidang, tambahkan akun yang ingin Anda izinkan untuk membuat model yang disalin ke daftar yang dipetakan oleh `AWS` subbidang.
1. Pernyataan kedua hanya memungkinkan dekripsi kunci. Di `Principal` bidang, tambahkan akun yang hanya ingin Anda izinkan untuk memanggil model yang disalin ke daftar yang dipetakan oleh `AWS` subbidang.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCopiedModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
},
{
"Sid": "PermissionsDecryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
#### Kebijakan kunci untuk kunci yang mengenkripsi model sumber yang akan disalin
Jika model sumber yang akan Anda salin dienkripsi dengan kunci KMS, lampirkan pernyataan dari kebijakan kunci [Izinkan akses ke model terenkripsi](#encryption-key-policy-decrypt) untuk kunci yang mengenkripsi model sumber. Stamtement ini memungkinkan peran salinan model untuk mendekripsi kunci yang mengenkripsi model sumber. Di `Principal` bidang dalam templat kebijakan berikut, tambahkan akun yang ingin Anda izinkan untuk menyalin model sumber ke daftar yang dipetakan `AWS` subbidang:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsSourceModelKey",
"Statement": [
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Pantau kunci enkripsi Anda untuk layanan Amazon Bedrock
Saat Anda menggunakan kunci terkelola AWS KMS pelanggan dengan sumber daya Amazon Bedrock, Anda dapat menggunakan [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)atau [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) untuk melacak permintaan yang dikirimkan Amazon Bedrock. AWS KMS
Berikut ini adalah contoh AWS CloudTrail peristiwa [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)untuk memantau operasi KMS yang dipanggil oleh Amazon Bedrock untuk membuat hibah utama:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForModelCopy/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForModelCopy",
"accountId": "111122223333",
"userName": "RoleForModelCopy"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Enkripsi data pelatihan, validasi, dan output
Saat Anda menggunakan Amazon Bedrock untuk menjalankan pekerjaan penyesuaian model, Anda menyimpan file input di bucket Amazon S3 Anda. Saat pekerjaan selesai, Amazon Bedrock menyimpan file metrik keluaran di bucket S3 yang Anda tentukan saat membuat pekerjaan dan artefak model kustom yang dihasilkan dalam bucket S3 yang dikendalikan oleh. AWS
File output dienkripsi dengan konfigurasi enkripsi bucket S3. Ini dienkripsi baik dengan enkripsi [sisi server SSE-S3 atau dengan enkripsi AWS KMS SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)[, tergantung pada bagaimana Anda mengatur bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).
# Enkripsi model kustom yang diimpor
Amazon Bedrock mendukung pembuatan model kustom melalui dua metode yang keduanya menggunakan pendekatan enkripsi yang sama. Model kustom Anda dikelola dan disimpan olehAWS:
+ **Pekerjaan impor model khusus** - Untuk mengimpor model fondasi sumber terbuka yang disesuaikan (seperti Mistral AI atau Llama model).
+ **Buat model khusus** - Untuk mengimpor model Amazon Nova yang Anda sesuaikan di SageMaker AI.
Untuk enkripsi model kustom Anda, Amazon Bedrock menyediakan opsi berikut:
+ **AWSkunci yang dimiliki** - Secara default, Amazon Bedrock mengenkripsi model kustom yang diimpor dengan AWS kunci yang dimiliki. Anda tidak dapat melihat, mengelola, atau menggunakan kunci yang AWS dimiliki, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat [kunci yang AWS dimiliki](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#aws-owned-cmk) di *Panduan Pengembang Layanan Manajemen AWS Kunci*.
+ **Customer managed keys (CMK)** - Anda dapat memilih untuk menambahkan lapisan enkripsi kedua di atas kunci enkripsi yang ada AWS dengan memilih kunci yang dikelola pelanggan (CMK). Anda membuat, memiliki, dan mengelola kunci yang dikelola pelanggan Anda.
Karena Anda memiliki kendali penuh atas lapisan enkripsi ini, di dalamnya Anda dapat melakukan tugas-tugas berikut:
+ Menetapkan dan memelihara kebijakan utama
+ Menetapkan dan memelihara kebijakan dan hibah IAM
+ Mengaktifkan dan menonaktifkan kebijakan utama
+ Putar bahan kriptografi kunci
+ Tambahkan tag
+ Buat alias kunci
+ Kunci jadwal untuk penghapusan
Untuk informasi selengkapnya, lihat [kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan Pengembang Layanan Manajemen AWS Kunci*.
**catatan**
Untuk semua model kustom yang Anda impor, Amazon Bedrock secara otomatis mengaktifkan enkripsi saat istirahat menggunakan kunci yang AWS dimiliki untuk melindungi data pelanggan tanpa biaya. Jika Anda menggunakan kunci yang dikelola pelanggan, AWS KMS dikenakan biaya. Untuk informasi selengkapnya tentang harga, lihat [AWS Key Management ServiceHarga.](https://docs.aws.amazon.com/) .
## Bagaimana Amazon Bedrock menggunakan hibah di AWS KMS
Jika Anda menentukan kunci yang dikelola pelanggan untuk mengenkripsi model yang diimpor. Amazon Bedrock membuat AWS KMS [hibah](https://docs.aws.amazon.com/) **utama** yang terkait dengan model yang diimpor atas nama Anda dengan mengirimkan [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)permintaan keAWS KMS. Hibah ini memungkinkan Amazon Bedrock untuk mengakses dan menggunakan kunci yang dikelola pelanggan Anda. Hibah AWS KMS digunakan untuk memberikan Amazon Bedrock akses ke kunci KMS di akun pelanggan.
Amazon Bedrock memerlukan hibah utama untuk menggunakan kunci terkelola pelanggan Anda untuk operasi internal berikut:
+ Kirim [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)permintaan AWS KMS untuk memverifikasi bahwa ID kunci KMS yang dikelola pelanggan simetris yang Anda masukkan saat membuat pekerjaan valid.
+ Kirim [GenerateDataKey](https://docs.aws.amazon.com//kms/latest/APIReference/API_GenerateDataKey.html)dan [Dekripsi](https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html) permintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci yang dikelola pelanggan Anda dan mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi artefak model.
+ Kirim [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)permintaan AWS KMS untuk membuat hibah sekunder cakupan ke bawah dengan subset dari operasi di atas (`DescribeKey`,,`Decrypt`)`GenerateDataKey`, untuk eksekusi impor model secara asinkron dan untuk inferensi sesuai permintaan.
+ Amazon Bedrock menentukan prinsipal pensiun selama pembuatan hibah, sehingga layanan dapat mengirim permintaan. [RetireGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_RetireGrant.html)
Anda memiliki akses penuh ke AWS KMS kunci yang dikelola pelanggan Anda. Anda dapat mencabut akses ke hibah dengan mengikuti langkah-langkah di [Pensiun dan pencabutan hibah](https://docs.aws.amazon.com//kms/latest/developerguide/grant-manage.html#grant-delete) di *Panduan Pengembang Layanan Manajemen AWS Kunci atau menghapus akses layanan* ke kunci yang dikelola pelanggan Anda kapan saja dengan memodifikasi kebijakan utama. Jika Anda melakukannya, Amazon Bedrock tidak akan dapat mengakses model impor yang dienkripsi oleh kunci Anda.
### Siklus hidup hibah primer dan sekunder untuk model impor khusus
+ **Hibah primer** memiliki umur yang panjang dan tetap aktif selama model kustom terkait masih digunakan. Ketika model impor kustom dihapus, hibah utama yang sesuai secara otomatis dihentikan.
+ **Hibah sekunder** berumur pendek. Mereka secara otomatis pensiun segera setelah operasi yang dilakukan Amazon Bedrock atas nama pelanggan selesai. Misalnya, setelah pekerjaan impor model kustom selesai, hibah sekunder yang memungkinkan Amazon Bedrock mengenkripsi model impor kustom akan segera dihentikan.
# Menggunakan kunci terkelola pelanggan (CMK)
Jika Anda berencana menggunakan kunci yang dikelola pelanggan untuk mengenkripsi model impor kustom Anda, selesaikan langkah-langkah berikut:
1. Buat kunci yang dikelola pelanggan denganAWS Key Management Service.
1. Lampirkan [kebijakan berbasis sumber daya](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html) dengan izin untuk peran tertentu untuk membuat dan menggunakan model impor khusus.
**Buat kunci terkelola pelanggan**
Pertama, pastikan Anda memiliki `CreateKey` izin. Kemudian ikuti langkah-langkah [membuat kunci](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) untuk membuat kunci yang dikelola pelanggan baik di AWS KMS konsol atau operasi [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API. Pastikan untuk membuat kunci enkripsi simetris.
Pembuatan kunci mengembalikan kunci `Arn` yang dapat Anda gunakan sebagai `importedModelKmsKeyId ` saat mengimpor model kustom dengan impor model khusus.
**Buat kebijakan kunci dan lampirkan ke kunci yang dikelola pelanggan**
Kebijakan utama adalah [kebijakan berbasis sumber daya](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html) yang Anda lampirkan ke kunci yang dikelola pelanggan untuk mengontrol akses ke sana. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Anda dapat menentukan kebijakan kunci saat membuat kunci terkelola pelanggan. Anda dapat memodifikasi kebijakan kunci kapan saja, tetapi mungkin ada penundaan singkat sebelum perubahan tersedia secara keseluruhanAWS KMS. Untuk informasi selengkapnya, lihat [Mengelola akses ke kunci terkelola pelanggan](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#managing-access) di *Panduan Pengembang Layanan Manajemen AWS Kunci*.
**Enkripsi model kustom yang diimpor**
Untuk menggunakan kunci yang dikelola pelanggan untuk mengenkripsi model kustom yang diimpor, Anda harus menyertakan AWS KMS operasi berikut dalam kebijakan kunci:
+ [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) [— membuat hibah untuk kunci yang dikelola pelanggan dengan mengizinkan akses utama layanan Amazon Bedrock ke kunci KMS yang ditentukan melalui operasi hibah.](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) Untuk informasi selengkapnya tentang hibah, lihat [Hibah AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) Panduan *Pengembang Layanan Manajemen AWS Utama*.
**catatan**
Amazon Bedrock juga menyiapkan kepala sekolah pensiun dan secara otomatis menghentikan hibah setelah tidak lagi diperlukan.
+ [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — menyediakan detail kunci yang dikelola pelanggan untuk memungkinkan Amazon Bedrock memvalidasi kunci.
+ [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Menyediakan detail kunci yang dikelola pelanggan untuk memungkinkan Amazon Bedrock memvalidasi akses pengguna. Amazon Bedrock menyimpan ciphertext yang dihasilkan bersama model kustom yang diimpor untuk digunakan sebagai pemeriksaan validasi tambahan terhadap pengguna model kustom yang diimpor
+ [KMS: Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) — Mendekripsi ciphertext yang disimpan untuk memvalidasi bahwa peran memiliki akses yang tepat ke kunci KMS yang mengenkripsi model kustom yang diimpor.
Berikut ini adalah contoh kebijakan yang dapat Anda lampirkan ke kunci untuk peran yang akan Anda gunakan untuk mengenkripsi model yang Anda impor:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy for a key to encrypt an imported custom model",
"Statement": [
{
"Sid": "Permissions for model import API invocation role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
}
]
}
```
------
**Dekripsi model kustom impor terenkripsi**
Jika Anda mengimpor model kustom yang telah dienkripsi oleh kunci terkelola pelanggan lain, Anda harus menambahkan `kms:Decrypt` izin untuk peran yang sama, seperti dalam kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy for a key that encrypted a custom imported model",
"Statement": [
{
"Sid": "Permissions for model import API invocation role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
# Memantau kunci enkripsi Anda untuk layanan Amazon Bedrock
Saat Anda menggunakan kunci terkelola AWS KMS pelanggan dengan sumber daya Amazon Bedrock, Anda dapat menggunakan [AWS CloudTrail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-user-guide.html)atau [Amazon CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) untuk melacak permintaan yang dikirimkan Amazon Bedrock. AWS KMS
Berikut ini adalah contoh AWS CloudTrail peristiwa [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)untuk memantau AWS KMS operasi yang dipanggil oleh Amazon Bedrock untuk membuat hibah utama:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForModelImport/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForModelImport",
"accountId": "111122223333",
"userName": "RoleForModelImport"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
[Lampirkan kebijakan berbasis sumber daya berikut ke kunci KMS dengan mengikuti langkah-langkah di Membuat kebijakan.](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-overview.html) Kebijakan tersebut berisi dua pernyataan.
1. Izin untuk peran untuk mengenkripsi artefak kustomisasi model. Tambahkan ARNs peran pembuat model kustom yang diimpor ke `Principal` bidang.
1. Izin untuk peran untuk menggunakan model kustom yang diimpor dalam inferensi. Tambahkan ARNs peran pengguna model kustom yang diimpor ke `Principal` bidang.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS Key Policy",
"Statement": [
{
"Sid": "Permissions for imported model builders",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Sid": "Permissions for imported model users",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/role"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
]
}
```
------
# Enkripsi dalam Otomasi Amazon Bedrock Data
Amazon BedrockOtomasi Data (BDA) menggunakan enkripsi untuk melindungi data Anda saat istirahat. Ini termasuk cetak biru, proyek, dan wawasan yang diekstraksi yang disimpan oleh layanan. BDA menawarkan dua opsi untuk mengenkripsi data Anda:
1. AWSkunci yang dimiliki — Secara default, BDA mengenkripsi data Anda dengan AWS kunci yang dimiliki. Anda tidak dapat melihat, mengelola, atau menggunakan kunci yang AWS dimiliki, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat [kunci yang AWS dimiliki](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) di Panduan Pengembang Layanan Manajemen AWS Kunci.
1. Kunci terkelola pelanggan — Anda dapat memilih untuk mengenkripsi data Anda dengan kunci terkelola pelanggan yang Anda kelola sendiri. Untuk informasi selengkapnya tentang AWS KMS kunci, lihat [Kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di Panduan Pengembang Layanan Manajemen AWS Kunci. BDA tidak mendukung kunci yang dikelola pelanggan untuk digunakan di Amazon Bedrock konsol, hanya untuk operasi API.
Amazon BedrockOtomatisasi Data secara otomatis memungkinkan enkripsi saat istirahat menggunakan kunci yang AWS dimiliki tanpa biaya. Jika Anda menggunakan kunci yang dikelola pelanggan, AWS KMS dikenakan biaya. Untuk informasi selengkapnya tentang harga, lihat AWS KMS [harga](https://aws.amazon.com/kms/pricing/).
## Bagaimana Amazon Bedrock menggunakan hibah di AWS KMS
Jika Anda menentukan kunci terkelola pelanggan untuk enkripsi BDA Anda saat memanggil invokeDataAutomation Async, layanan akan membuat hibah yang terkait dengan sumber daya Anda atas nama Anda dengan mengirimkan permintaan ke. CreateGrant AWS KMS Hibah ini memungkinkan BDA untuk mengakses dan menggunakan kunci yang dikelola pelanggan Anda.
BDA menggunakan hibah untuk kunci yang dikelola pelanggan Anda untuk operasi internal berikut:
+ DescribeKey — Kirim permintaan AWS KMS untuk memverifikasi bahwa ID AWS KMS kunci terkelola pelanggan simetris yang Anda berikan valid.
+ GenerateDataKey dan Dekripsi - Kirim permintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci yang dikelola pelanggan Anda dan mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi sumber daya Anda.
+ CreateGrant — Kirim permintaan AWS KMS untuk membuat hibah cakupan bawah dengan subset dari operasi di atas (DescribeKey,, Dekripsi) GenerateDataKey, untuk eksekusi operasi asinkron.
Anda memiliki akses penuh ke AWS KMS kunci yang dikelola pelanggan Anda. Anda dapat mencabut akses ke hibah dengan mengikuti langkah-langkah di Pensiun dan pencabutan hibah di Panduan AWS KMS Pengembang atau menghapus akses layanan ke kunci yang dikelola pelanggan Anda kapan saja dengan memodifikasi kebijakan utama. Jika Anda melakukannya, BDA tidak akan dapat mengakses sumber daya yang dienkripsi oleh kunci Anda.
Jika Anda memulai panggilan invokeDataAutomation Async baru setelah mencabut hibah, BDA akan membuat ulang hibah tersebut. Hibah dihentikan oleh BDA setelah 30 jam.
## Membuat kunci yang dikelola pelanggan dan melampirkan kebijakan utama
Untuk mengenkripsi sumber daya BDA dengan kunci yang Anda buat dan kelola, ikuti langkah-langkah umum berikut:
1. (Prasyarat) Pastikan bahwa peran IAM Anda memiliki izin untuk tindakan tersebut. CreateKey
1. Ikuti langkah-langkah di [Membuat kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) untuk membuat kunci yang dikelola pelanggan menggunakan AWS KMS konsol atau CreateKey operasi.
1. Pembuatan kunci mengembalikan ARN yang dapat Anda gunakan untuk operasi yang memerlukan penggunaan kunci (misalnya, saat membuat proyek atau cetak biru di BDA), seperti operasi Async. invokeDataAutomation
1. Buat dan lampirkan kebijakan kunci ke kunci dengan izin yang diperlukan. Untuk membuat kebijakan utama, ikuti langkah-langkah di [Membuat kebijakan utama](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-create.html) di Panduan AWS KMS Pengembang.
## Izin dan kebijakan utama untuk sumber daya Otomasi Amazon Bedrock Data
Setelah Anda membuat AWS KMS kunci, Anda melampirkan kebijakan kunci untuk itu. AWS KMSTindakan berikut digunakan untuk kunci yang mengenkripsi sumber daya BDA:
1. kms:CreateGrant — Membuat hibah untuk kunci yang dikelola pelanggan dengan mengizinkan akses layanan BDA ke AWS KMS kunci yang ditentukan melalui operasi hibah, yang diperlukan untuk InvokeDataAutomationAsync.
1. kms:DescribeKey — Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan BDA memvalidasi kunci.
1. kms:GenerateDataKey — Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan BDA memvalidasi akses pengguna.
1. kms:Dekripsi — Mendekripsi ciphertext yang disimpan untuk memvalidasi bahwa peran memiliki akses yang tepat ke kunci yang mengenkripsi sumber daya BDA. AWS KMS
**Kebijakan utama untuk Otomasi Amazon Bedrock Data**
Untuk menggunakan kunci terkelola pelanggan Anda untuk mengenkripsi sumber daya BDA, sertakan pernyataan berikut dalam kebijakan dan ganti kunci Anda `${account-id}``${region}`, serta `${key-id}` dengan nilai spesifik Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy for a key to encrypt data for BDA resource",
"Statement": [
{
"Sid": "Permissions for encryption of data for BDA resources",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/Role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
**Izin peran IAM**
Peran IAM yang digunakan untuk berinteraksi dengan BDA dan AWS KMS harus memiliki izin berikut, ganti `${region}``${account-id}`, dan `${key-id}` dengan nilai spesifik Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Konteks enkripsi Otomasi Amazon Bedrock
BDA menggunakan konteks enkripsi yang sama di semua operasi AWS KMS kriptografi, di mana kuncinya `aws:bedrock:data-automation-customer-account-id` dan nilainya adalah ID AWS akun Anda. Contoh konteks enkripsi ada di bawah ini.
```
"encryptionContext": {
"bedrock:data-automation-customer-account-id": "account id"
}
```
**Menggunakan konteks enkripsi untuk pemantauan**
Bila Anda menggunakan kunci terkelola pelanggan simetris untuk mengenkripsi data Anda, Anda juga dapat menggunakan konteks enkripsi dalam catatan audit dan log untuk mengidentifikasi bagaimana kunci yang dikelola pelanggan digunakan. Konteks enkripsi juga muncul di log yang dihasilkan oleh AWS CloudTrail atau Amazon CloudWatch Logs.
**Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda**
Anda dapat menggunakan konteks enkripsi dalam kebijakan utama dan kebijakan IAM sebagai kondisi untuk mengontrol akses ke kunci terkelola pelanggan simetris Anda. Anda juga dapat menggunakan kendala konteks enkripsi dalam hibah. BDA menggunakan batasan konteks enkripsi dalam hibah untuk mengontrol akses ke kunci yang dikelola pelanggan di akun atau Wilayah Anda. Batasan hibah mengharuskan operasi yang diizinkan oleh hibah menggunakan konteks enkripsi yang ditentukan.
Berikut ini adalah contoh pernyataan kebijakan kunci untuk memberikan akses ke kunci yang dikelola pelanggan untuk konteks enkripsi tertentu. Kondisi dalam pernyataan kebijakan ini mengharuskan hibah memiliki batasan konteks enkripsi yang menentukan konteks enkripsi.
```
[
{
"Sid": "Enable DescribeKey, Decrypt, GenerateDataKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleRole"
},
"Action": ["kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:bedrock:data-automation-customer-account-id": "111122223333"
},
"StringEquals": {
"kms:GrantOperations": ["Decrypt", "DescribeKey", "GenerateDataKey"]
}
}
}
]
```
## Memantau kunci enkripsi Anda untuk Otomasi Amazon Bedrock Data
Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan dengan sumber daya Otomasi Amazon Bedrock Data, Anda dapat menggunakan [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)atau [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)melacak permintaan yang dikirimkan oleh Otomasi Amazon Bedrock DataAWS KMS. Berikut ini adalah contoh AWS CloudTrail peristiwa [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)untuk memantau AWS KMS operasi yang disebut oleh Otomasi Amazon Bedrock Data untuk membuat hibah utama:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForDataAutomation/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForDataAutomation",
"accountId": "111122223333",
"userName": "RoleForDataAutomation"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"constraints": {
"encryptionContextSubset": {
"aws:bedrock:data-automation-customer-account-id": "000000000000"
}
},
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Enkripsi sumber daya agen
Enkripsi data saat istirahat secara default membantu mengurangi overhead operasional dan kompleksitas yang terlibat dalam melindungi data sensitif. Pada saat yang sama, ini memungkinkan Anda untuk membangun aplikasi aman yang memenuhi kepatuhan enkripsi yang ketat dan persyaratan peraturan.
Amazon Bedrock menggunakan kunci yang AWS dimiliki default untuk mengenkripsi informasi agen secara otomatis. Ini termasuk data bidang kontrol dan data sesi. Anda tidak dapat melihat, mengelola, atau mengaudit penggunaan kunci yang AWS dimiliki. Untuk informasi selengkapnya, lihat [kunci AWS yang dimiliki](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk).
Meskipun Anda tidak dapat menonaktifkan lapisan enkripsi ini, Anda dapat memilih untuk menggunakan kunci yang dikelola pelanggan alih-alih kunci AWS milik untuk mengenkripsi informasi agen. Amazon Bedrock mendukung penggunaan kunci terkelola pelanggan simetris (CMK) yang dapat Anda buat, miliki, dan kelola alih-alih enkripsi yang dimiliki default AWS . Untuk informasi selengkapnya, lihat [Kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
**penting**
Amazon Bedrock secara otomatis mengenkripsi informasi sesi agen Anda menggunakan kunci yang AWS dimiliki tanpa biaya.
AWS Biaya KMS berlaku untuk menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, lihat [Harga Layanan Manajemen AWS Utama](https://aws.amazon.com/kms/pricing/).
Jika Anda telah membuat agen *sebelum* 22 Januari 2025 dan ingin menggunakan kunci yang dikelola pelanggan untuk mengenkripsi sumber daya agen, ikuti instruksi untuk. [Enkripsi sumber daya agen untuk agen yang dibuat sebelum 22 Januari 2025](encryption-agents.md)
# Enkripsi sumber daya agen dengan kunci yang dikelola pelanggan (CMK)
Anda dapat setiap saat membuat kunci yang dikelola pelanggan untuk mengenkripsi informasi agen Anda menggunakan informasi agen berikut yang diberikan saat membangun agen Anda.
**catatan**
Sumber daya agen berikut hanya akan dienkripsi untuk agen yang dibuat setelah 22 Januari 2025.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/bedrock/latest/userguide/cmk-agent-resources.html)
Untuk menggunakan kunci yang dikelola pelanggan, selesaikan langkah-langkah berikut:
1. Buat kunci yang dikelola pelanggan dengan AWS Key Management Service.
1. Buat kebijakan kunci dan lampirkan ke kunci yang dikelola pelanggan
## Buat kunci terkelola pelanggan
Anda dapat membuat kunci terkelola pelanggan simetris dengan menggunakan AWS Management Console, atau. AWS Key Management Service APIs
Pertama pastikan bahwa Anda memiliki `CreateKey` izin dan kemudian, ikuti langkah-langkah untuk [Membuat kunci terkelola pelanggan simetris di Panduan AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) *Pengembang*.
**Kebijakan utama** - kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat [Mengelola akses ke kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) di *Panduan AWS Key Management Service Pengembang*.
Jika Anda telah membuat agen Anda setelah 22 Januari 2025 dan ingin menggunakan kunci yang dikelola pelanggan untuk mengenkripsi informasi agen Anda, pastikan bahwa pengguna atau peran yang memanggil operasi API agen memiliki izin berikut dalam kebijakan utama:
+ [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — mengembalikan kunci data simetris yang unik untuk digunakan di luar KMS. AWS
+ [KMS: Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) — mendekripsi ciphertext yang dienkripsi oleh kunci KMS.
Pembuatan kunci mengembalikan kunci `Arn` yang dapat Anda gunakan sebagai`customerEncryptionKeyArn`, saat membuat agen Anda.
## Buat kebijakan kunci dan lampirkan ke kunci yang dikelola pelanggan
Jika Anda mengenkripsi sumber daya agen dengan kunci yang dikelola pelanggan, Anda harus menyiapkan kebijakan berbasis identitas dan kebijakan berbasis sumber daya agar Amazon Bedrock mengenkripsi dan mendekripsi sumber daya agen atas nama Anda.
**Kebijakan berbasis identitas**
Lampirkan kebijakan berbasis identitas berikut ke peran IAM atau pengguna dengan izin untuk melakukan panggilan ke agen APIs yang mengenkripsi dan mendekripsi sumber daya agen atas nama Anda. Kebijakan ini memvalidasi pengguna yang membuat panggilan API memiliki AWS KMS izin. Ganti`${region}`,`${account-id}`,`${agent-id}`, dan `${key-id}` dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptAgents",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
**Kebijakan berbasis sumber daya**
Lampirkan kebijakan berbasis sumber daya berikut ke AWS KMS kunci Anda *hanya* jika Anda membuat grup tindakan tempat skema di Amazon S3 dienkripsi. Anda tidak perlu melampirkan kebijakan berbasis sumber daya untuk kasus penggunaan lainnya.
Untuk melampirkan kebijakan berbasis sumber daya berikut, ubah cakupan izin seperlunya dan ganti`${region}`,, `${account-id}``${agent-id}`, dan `${key-id}` dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}"
},
{
"Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
## Mengubah kunci yang dikelola pelanggan
Agen Amazon Bedrock tidak mendukung enkripsi ulang agen berversi saat kunci yang dikelola pelanggan yang terkait dengan agen *DRAFT* diubah atau saat Anda berpindah dari kunci yang dikelola pelanggan ke kunci yang dimiliki. AWS Hanya data untuk sumber daya *DRAFT* yang akan dienkripsi ulang dengan kunci baru.
Pastikan Anda tidak menghapus atau menghapus izin untuk kunci apa pun untuk agen berversi jika menggunakannya untuk menyajikan data produksi.
Untuk melihat dan memverifikasi kunci yang digunakan oleh versi, panggil [GetAgentVersion](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_GetAgentVersion.html)dan periksa `customerEncryptionKeyArn` di respons.
# Enkripsi sesi agen dengan kunci terkelola pelanggan (CMK)
Jika Anda telah mengaktifkan memori untuk agen Anda dan jika Anda mengenkripsi sesi agen dengan kunci terkelola pelanggan, Anda harus mengonfigurasi kebijakan kunci berikut dan izin IAM identitas panggilan untuk mengonfigurasi kunci terkelola pelanggan Anda.
**Kebijakan kunci yang dikelola pelanggan**
Amazon Bedrock menggunakan izin ini untuk menghasilkan kunci data terenkripsi dan kemudian menggunakan kunci yang dihasilkan untuk mengenkripsi memori agen. Amazon Bedrock juga memerlukan izin untuk mengenkripsi ulang kunci data yang dihasilkan dengan konteks enkripsi yang berbeda. Izin enkripsi ulang juga digunakan ketika transisi kunci yang dikelola pelanggan antara kunci yang dikelola pelanggan lain atau kunci yang dimiliki layanan. Untuk informasi selengkapnya, lihat [Hierarchical Keyring](https://docs.aws.amazon.com//database-encryption-sdk/latest/devguide/use-hierarchical-keyring.html).
Ganti`$region`,`account-id`, dan `${caller-identity-role}` dengan nilai yang sesuai.
```
{
"Version": "2012-10-17",
{
"Sid": "Allow access for bedrock to enable long term memory",
"Effect": "Allow",
"Principal": {
"Service": [
"bedrock.amazonaws.com",
],
},
"Action": [
"kms:GenerateDataKeyWithoutPlainText",
"kms:ReEncrypt*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "$account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:bedrock:$region:$account-id:agent-alias/*"
}
}
"Resource": "*"
},
{
"Sid": "Allow the caller identity control plane permissions for long term memory",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}"
},
"Action": [
"kms:GenerateDataKeyWithoutPlainText",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*"
}
}
},
{
"Sid": "Allow the caller identity data plane permissions to decrypt long term memory",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*",
"kms:ViaService": "bedrock.$region.amazonaws.com"
}
}
}
}
```
**Izin IAM untuk mengenkripsi dan mendekripsi memori agen**
Izin IAM berikut diperlukan untuk API Agen pemanggil identitas untuk mengonfigurasi kunci KMS untuk agen dengan memori diaktifkan. Agen Amazon Bedrock menggunakan izin ini untuk memastikan bahwa identitas pemanggil diizinkan untuk memiliki izin yang disebutkan dalam kebijakan utama di atas APIs untuk mengelola, melatih, dan menerapkan model. Untuk agen pemanggil APIs itu, agen Amazon Bedrock menggunakan `kms:Decrypt` izin identitas pemanggil untuk mendekripsi memori.
Ganti`$region`,`account-id`, dan `${key-id}` dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AgentsControlPlaneLongTermMemory",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKeyWithoutPlaintext",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent-alias/*"
}
}
},
{
"Sid": "AgentsDataPlaneLongTermMemory",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent-alias/*"
}
}
}
]
}
```
------
# Praktik terbaik keamanan preventif untuk agen
Praktik terbaik berikut untuk layanan Amazon Bedrock dapat membantu mencegah insiden keamanan:
**Gunakan koneksi aman**
Selalu gunakan koneksi terenkripsi, seperti yang dimulai dengan `https://` untuk menjaga keamanan informasi sensitif saat transit.
**Menerapkan akses priviledge paling sedikit ke sumber daya**
Saat Anda membuat kebijakan khusus untuk sumber daya Amazon Bedrock, berikan hanya izin yang diperlukan untuk melakukan tugas. Disarankan untuk memulai dengan set izin minimum dan memberikan izin tambahan sesuai kebutuhan. Menerapkan akses hak istimewa paling sedikit sangat penting untuk mengurangi risiko dan dampak yang dapat dihasilkan dari kesalahan atau serangan berbahaya. Untuk informasi selengkapnya, lihat [Manajemen identitas dan akses untuk Amazon Bedrock](security-iam.md).
**Jangan sertakan PII dalam sumber daya agen mana pun yang berisi data pelanggan**
Saat membuat, memperbarui, dan menghapus sumber daya agen (misalnya, saat menggunakan [CreateAgent](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_CreateAgent.html)) tidak menyertakan informasi identitas pribadi (PII) di bidang apa pun yang tidak mendukung penggunaan kunci yang dikelola pelanggan seperti nama grup tindakan dan nama basis pengetahuan. Untuk daftar bidang yang mendukung penggunaan kunci terkelola pelanggan, lihat [Enkripsi sumber daya agen dengan kunci yang dikelola pelanggan (CMK)](cmk-agent-resources.md)
# Enkripsi sumber daya agen untuk agen yang dibuat sebelum 22 Januari 2025
**penting**
Jika Anda telah membuat agen Anda *setelah* 22 Januari 2025, ikuti instruksi untuk [Enkripsi sumber daya agen](encryption-agents-new.md)
Amazon Bedrock mengenkripsi informasi sesi agen Anda. Secara default, Amazon Bedrock mengenkripsi data ini menggunakan kunci terkelolaAWS. Secara opsional, Anda dapat mengenkripsi artefak agen menggunakan kunci yang dikelola pelanggan.
Untuk informasi selengkapnyaAWS KMS keys, lihat [Kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS Key Management Service Pengembang*.
Jika Anda mengenkripsi sesi dengan agen Anda dengan kunci KMS kustom, Anda harus menyiapkan kebijakan berbasis identitas dan kebijakan berbasis sumber daya berikut untuk memungkinkan Amazon Bedrock mengenkripsi dan mendekripsi sumber daya agen atas nama Anda.
1. Lampirkan kebijakan berbasis identitas berikut ke peran IAM atau pengguna dengan izin untuk melakukan panggilan. `InvokeAgent` Kebijakan ini memvalidasi pengguna yang melakukan `InvokeAgent` panggilan memiliki izin KMS. Ganti*\$1\$1region\$1*,*\$1\$1account-id\$1*,*\$1\$1agent-id\$1*, dan *\$1\$1key-id\$1* dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptDecryptAgents",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/agent-id"
}
}
}
]
}
```
------
1. Lampirkan kebijakan berbasis sumber daya berikut ke kunci KMS Anda. Ubah ruang lingkup izin seperlunya. Ganti*\$1\$1region\$1*,*\$1\$1account-id\$1*,*\$1\$1agent-id\$1*, dan *\$1\$1key-id\$1* dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRootModifyKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
},
{
"Sid": "AllowBedrockEncryptAgent",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/AgentId"
}
}
},
{
"Sid": "AllowRoleEncryptAgent",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/Role"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
},
{
"Sid": "AllowAttachmentPersistentResources",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
]
}
```
------
# Enkripsi sumber daya Amazon Bedrock Flows
Amazon Bedrock mengenkripsi data Anda saat istirahat. Secara default, Amazon Bedrock mengenkripsi data ini menggunakan kunci terkelolaAWS. Secara opsional, Anda dapat mengenkripsi data menggunakan kunci yang dikelola pelanggan.
Untuk informasi selengkapnyaAWS KMS keys, lihat [Kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS Key Management Service Pengembang*.
Jika Anda mengenkripsi data dengan kunci KMS kustom, Anda harus menyiapkan kebijakan berbasis identitas dan kebijakan berbasis sumber daya berikut untuk mengizinkan Amazon Bedrock mengenkripsi dan mendekripsi data atas nama Anda.
1. Lampirkan kebijakan berbasis identitas berikut ke peran IAM atau pengguna dengan izin untuk melakukan panggilan Amazon Bedrock Flows API. Kebijakan ini memvalidasi pengguna yang membuat panggilan Amazon Bedrock Flows memiliki izin KMS. Ganti*\$1\$1region\$1*,*\$1\$1account-id\$1*,*\$1\$1flow-id\$1*, dan *\$1\$1key-id\$1* dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptFlow",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/${flow-id}",
"kms:ViaService": "bedrock.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
1. Lampirkan kebijakan berbasis sumber daya berikut ke kunci KMS Anda. Ubah ruang lingkup izin seperlunya. Ganti*\$1IAM-USER/ROLE-ARN\$1*,*\$1\$1region\$1*,*\$1\$1account-id\$1*,*\$1\$1flow-id\$1*, dan *\$1\$1key-id\$1* dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRootModifyKMSId",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
},
{
"Sid": "AllowRoleUseKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/RoleName"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/FlowId",
"kms:ViaService": "bedrock.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
1. Untuk [eksekusi flow](flows-create-async.md), lampirkan kebijakan berbasis identitas berikut ke [peran layanan dengan izin untuk](flows-permissions.md) membuat dan mengelola alur. Kebijakan ini memvalidasi bahwa peran layanan Anda memiliki AWS KMS izin. Ganti*region*,*account-id*,*flow-id*, dan *key-id* dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptionFlows",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/flow-id",
"kms:ViaService": "bedrock.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
# Enkripsi sumber daya basis pengetahuan
Amazon Bedrock mengenkripsi sumber daya yang terkait dengan basis pengetahuan Anda. Secara default, Amazon Bedrock mengenkripsi data ini menggunakan kunci yang AWS dimiliki. Secara opsional, Anda dapat mengenkripsi artefak model menggunakan kunci yang dikelola pelanggan.
Enkripsi dengan kunci KMS dapat terjadi dengan proses berikut:
+ Penyimpanan data sementara saat menelan sumber data Anda
+ Meneruskan informasi ke OpenSearch Layanan jika Anda mengizinkan Amazon Bedrock mengatur basis data vektor Anda
+ Meminta basis pengetahuan
Sumber daya berikut yang digunakan oleh basis pengetahuan Anda dapat dienkripsi dengan kunci KMS. Jika Anda mengenkripsi mereka, Anda perlu menambahkan izin untuk mendekripsi kunci KMS.
+ Sumber data disimpan dalam bucket Amazon S3
+ Toko vektor pihak ketiga
Untuk informasi selengkapnya AWS KMS keys, lihat [Kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS Key Management Service Pengembang*.
**catatan**
Basis pengetahuan Amazon Bedrock menggunakan enkripsi TLS untuk komunikasi dengan konektor sumber data pihak ketiga dan penyimpanan vektor di mana penyedia mengizinkan dan mendukung enkripsi TLS dalam perjalanan.
**Topics**
+ [Enkripsi penyimpanan data sementara selama konsumsi data](#encryption-kb-ingestion)
+ [Enkripsi informasi yang diteruskan ke Amazon OpenSearch Service](#encryption-kb-oss)
+ [Enkripsi informasi diteruskan ke Vektor Amazon S3](#encryption-kb-s3-vector)
+ [Enkripsi pengambilan basis pengetahuan](#encryption-kb-runtime)
+ [Izin untuk mendekripsi AWS KMS kunci Anda untuk sumber data Anda di Amazon S3](#encryption-kb-ds)
+ [Izin untuk mendekripsi AWS Secrets Manager rahasia untuk penyimpanan vektor yang berisi basis pengetahuan Anda](#encryption-kb-3p)
+ [Izin untuk Otomasi Data Batuan Dasar (BDA) dengan enkripsi AWS KMS](#encryption-kb-bda)
## Enkripsi penyimpanan data sementara selama konsumsi data
Ketika Anda mengatur pekerjaan penyerapan data untuk basis pengetahuan Anda, Anda dapat mengenkripsi pekerjaan dengan kunci KMS kustom.
Untuk mengizinkan pembuatan AWS KMS kunci penyimpanan data sementara dalam proses pengambilan sumber data Anda, lampirkan kebijakan berikut ke peran layanan Amazon Bedrock Anda. Ganti nilai contoh dengan AWS Region, ID akun, dan ID AWS KMS kunci Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
## Enkripsi informasi yang diteruskan ke Amazon OpenSearch Service
Jika Anda memilih untuk mengizinkan Amazon Bedrock membuat penyimpanan vektor di OpenSearch Layanan Amazon untuk basis pengetahuan Anda, Amazon Bedrock dapat meneruskan kunci KMS yang Anda pilih ke OpenSearch Layanan Amazon untuk enkripsi. Untuk mempelajari lebih lanjut tentang enkripsi di OpenSearch Layanan Amazon, lihat [Enkripsi di OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html).
## Enkripsi informasi diteruskan ke Vektor Amazon S3
Jika Anda memilih untuk mengizinkan Amazon Bedrock membuat bucket vektor S3 dan indeks vektor di Vektor Amazon S3 untuk basis pengetahuan Anda, Amazon Bedrock dapat meneruskan kunci KMS yang Anda pilih ke Vektor Amazon S3 untuk enkripsi. Untuk mempelajari lebih lanjut tentang enkripsi di Vektor Amazon S3, lihat [Enkripsi dengan Vektor Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-vectors-bucket-encryption.html).
## Enkripsi pengambilan basis pengetahuan
Anda dapat mengenkripsi sesi di mana Anda menghasilkan respons dari kueri basis pengetahuan dengan kunci KMS. Untuk melakukannya, sertakan ARN kunci KMS di `kmsKeyArn` bidang saat membuat permintaan. [RetrieveAndGenerate](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) Lampirkan kebijakan berikut, ganti nilai contoh dengan AWS Wilayah, ID akun, dan ID AWS KMS kunci Anda sendiri untuk mengizinkan Amazon Bedrock mengenkripsi konteks sesi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
## Izin untuk mendekripsi AWS KMS kunci Anda untuk sumber data Anda di Amazon S3
Anda menyimpan sumber data untuk basis pengetahuan Anda di bucket Amazon S3 Anda. Untuk mengenkripsi dokumen-dokumen ini saat istirahat, Anda dapat menggunakan opsi enkripsi sisi server Amazon S3 SSE-S3. Dengan opsi ini, objek dienkripsi dengan kunci layanan yang dikelola oleh layanan Amazon S3.
*Untuk informasi selengkapnya, lihat [Melindungi data menggunakan enkripsi sisi server dengan kunci enkripsi terkelola Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.*
Jika Anda mengenkripsi sumber data di Amazon S3 dengan kunci AWS KMS khusus, lampirkan kebijakan berikut ke peran layanan Amazon Bedrock Anda untuk mengizinkan Amazon Bedrock mendekripsi kunci Anda. Ganti nilai contoh dengan AWS Region, ID akun, dan ID AWS KMS kunci Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"KMS:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Izin untuk mendekripsi AWS Secrets Manager rahasia untuk penyimpanan vektor yang berisi basis pengetahuan Anda
Jika penyimpanan vektor yang berisi basis pengetahuan Anda dikonfigurasi dengan AWS Secrets Manager rahasia, Anda dapat mengenkripsi rahasia dengan AWS KMS kunci khusus dengan mengikuti langkah-langkah di [enkripsi Rahasia dan dekripsi](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) di. AWS Secrets Manager
Jika Anda melakukannya, Anda melampirkan kebijakan berikut ke peran layanan Amazon Bedrock Anda untuk memungkinkannya mendekripsi kunci Anda. Ganti nilai contoh dengan AWS Region, ID akun, dan ID AWS KMS kunci Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
## Izin untuk Otomasi Data Batuan Dasar (BDA) dengan enkripsi AWS KMS
Saat menggunakan BDA untuk memproses konten multimodal dengan AWS KMS kunci yang dikelola pelanggan, izin tambahan diperlukan di luar izin standar. AWS KMS
Lampirkan kebijakan berikut ke peran layanan Amazon Bedrock Anda untuk memungkinkan BDA bekerja dengan file multimedia terenkripsi. Ganti nilai contoh dengan AWS Region, ID akun, dan ID AWS KMS kunci Anda sendiri.
```
{
"Sid": "KmsPermissionStatementForBDA",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "account-id",
"kms:ViaService": "bedrock.region.amazonaws.com"
}
}
}
```
Izin khusus BDA termasuk `kms:DescribeKey` dan `kms:CreateGrant` tindakan, yang diperlukan untuk BDA untuk memproses file audio, video, dan gambar terenkripsi.