Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Enkripsi model khusus
Amazon Bedrock menggunakan data pelatihan Anda dengan [CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)tindakan, atau dengan [konsol](model-customization-submit.md), untuk membuat model kustom yang merupakan versi yang disetel dengan baik dari model dasar Amazon Bedrock. Model kustom Anda dikelola dan disimpan olehAWS.
Amazon Bedrock menggunakan data fine tuning yang Anda berikan hanya untuk menyempurnakan model foundation Amazon Bedrock. Amazon Bedrock tidak menggunakan data fine tuning untuk tujuan lain apa pun. Data pelatihan Anda tidak digunakan untuk melatih Titan model dasar atau didistribusikan ke pihak ketiga. Data penggunaan lainnya, seperti cap waktu penggunaan, akun yang dicatat IDs, dan informasi lain yang dicatat oleh layanan, juga tidak digunakan untuk melatih model.
Tak satu pun dari data pelatihan atau validasi yang Anda berikan untuk fine tuning disimpan oleh Amazon Bedrock, setelah pekerjaan fine tuning selesai.
Perhatikan bahwa model yang disetel dengan baik dapat memutar ulang beberapa data fine tuning sambil menghasilkan penyelesaian. Jika aplikasi Anda tidak boleh mengekspos data fine tuning dalam bentuk apa pun, Anda harus terlebih dahulu menyaring data rahasia dari data pelatihan Anda. Jika Anda telah membuat model yang disesuaikan menggunakan data rahasia secara tidak sengaja, Anda dapat menghapus model kustom itu, menyaring informasi rahasia dari data pelatihan, dan kemudian membuat model baru.
Untuk mengenkripsi model khusus (termasuk model yang disalin), Amazon Bedrock menawarkan dua opsi:
1. **Kunci milik AWS**— Secara default, Amazon Bedrock mengenkripsi model khusus dengan. Kunci milik AWS Anda tidak dapat melihat, mengelola, atau menggunakanKunci milik AWS, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi lebih lanjut, lihat [Kunci milik AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) dalam *Panduan PengembangAWS Key Management Service*.
1. **Kunci terkelola pelanggan** - Anda dapat memilih untuk mengenkripsi model kustom dengan kunci terkelola pelanggan yang Anda kelola sendiri. Untuk informasi selengkapnyaAWS KMS keys, lihat [Kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS Key Management Service Pengembang*.
**catatan**
Amazon Bedrock secara otomatis mengaktifkan enkripsi saat istirahat menggunakan Kunci milik AWS tanpa biaya. Jika Anda menggunakan kunci yang dikelola pelanggan, AWS KMS dikenakan biaya. Untuk informasi selengkapnya tentang harga, silakan lihat [harga AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
Untuk informasi selengkapnyaAWS KMS, lihat [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/).
**Topics**
+ [Bagaimana Amazon Bedrock menggunakan hibah di AWS KMS](#encryption-br-grants)
+ [Memahami cara membuat kunci yang dikelola pelanggan dan cara melampirkan kebijakan kunci ke dalamnya](#encryption-key-policy)
+ [Izin dan kebijakan utama untuk model kustom dan disalin](#encryption-cm-statements)
+ [Pantau kunci enkripsi Anda untuk layanan Amazon Bedrock](#encryption-monitor-key)
+ [Enkripsi data pelatihan, validasi, dan output](#encryption-custom-job-data)
## Bagaimana Amazon Bedrock menggunakan hibah di AWS KMS
Jika Anda menentukan kunci yang dikelola pelanggan untuk mengenkripsi model kustom untuk penyesuaian model atau pekerjaan penyalinan model, Amazon Bedrock akan membuat [hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) KMS **utama** yang terkait dengan model kustom atas nama Anda dengan mengirimkan permintaan ke. [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)AWS KMS Hibah ini memungkinkan Amazon Bedrock untuk mengakses dan menggunakan kunci yang dikelola pelanggan Anda. Hibah AWS KMS digunakan untuk memberikan Amazon Bedrock akses ke kunci KMS di akun pelanggan.
Amazon Bedrock memerlukan hibah utama untuk menggunakan kunci terkelola pelanggan Anda untuk operasi internal berikut:
+ Kirim [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)permintaan AWS KMS untuk memverifikasi bahwa ID kunci KMS yang dikelola pelanggan simetris yang Anda masukkan saat membuat pekerjaan valid.
+ Kirim [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)dan [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) permintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci yang dikelola pelanggan Anda dan mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi artefak model.
+ Kirim [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)permintaan AWS KMS untuk membuat hibah sekunder cakupan ke bawah dengan subset dari operasi di atas (`DescribeKey`,,`Decrypt`), `GenerateDataKey` untuk eksekusi asinkron kustomisasi model, salinan model, atau pembuatan Throughput yang Disediakan.
+ Amazon Bedrock menentukan prinsipal pensiun selama pembuatan hibah, sehingga layanan dapat mengirim permintaan. [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)
Anda memiliki akses penuh ke AWS KMS kunci yang dikelola pelanggan Anda. [Anda dapat mencabut akses ke hibah dengan mengikuti langkah-langkah di [Pensiun dan mencabut hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grant-manage.html#grant-delete) di [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/) atau menghapus akses layanan ke kunci yang dikelola pelanggan Anda kapan saja dengan memodifikasi kebijakan utama.](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) Jika Anda melakukannya, Amazon Bedrock tidak akan dapat mengakses model khusus yang dienkripsi oleh kunci Anda.
### Siklus hidup hibah primer dan sekunder untuk model khusus
+ **Hibah primer** memiliki umur yang panjang dan tetap aktif selama model kustom terkait masih digunakan. Ketika model kustom dihapus, hibah utama yang sesuai secara otomatis dihentikan.
+ **Hibah sekunder** berumur pendek. Mereka secara otomatis pensiun segera setelah operasi yang dilakukan Amazon Bedrock atas nama pelanggan selesai. Misalnya, setelah pekerjaan penyalinan model selesai, hibah sekunder yang memungkinkan Amazon Bedrock mengenkripsi model kustom yang disalin akan segera dihentikan.
## Memahami cara membuat kunci yang dikelola pelanggan dan cara melampirkan kebijakan kunci ke dalamnya
Untuk mengenkripsi AWS sumber daya dengan kunci yang Anda buat dan kelola, Anda melakukan langkah-langkah umum berikut:
1. (Prasyarat) Pastikan bahwa peran IAM Anda memiliki izin untuk tindakan tersebut. [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)
1. Ikuti langkah-langkah di [Membuat kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) untuk membuat kunci yang dikelola pelanggan dengan menggunakan AWS KMS konsol atau [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi.
1. Pembuatan kunci mengembalikan kunci yang `Arn` dapat Anda gunakan untuk operasi yang memerlukan penggunaan kunci (misalnya, saat [mengirimkan pekerjaan penyesuaian model](model-customization-submit.md) atau [menjalankan inferensi model](inference-invoke.md)).
1. Buat dan lampirkan kebijakan kunci ke kunci dengan izin yang diperlukan. Untuk membuat kebijakan utama, ikuti langkah-langkah di [Membuat kebijakan utama](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) di Panduan AWS Key Management Service Pengembang.
## Izin dan kebijakan utama untuk model kustom dan disalin
Setelah Anda membuat kunci KMS, Anda melampirkan kebijakan kunci untuk itu. Kebijakan utama adalah [kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) yang Anda lampirkan ke kunci yang dikelola pelanggan untuk mengontrol akses ke sana. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Anda dapat menentukan kebijakan kunci saat membuat kunci terkelola pelanggan. Anda dapat mengubah kebijakan kunci kapan saja, tetapi mungkin ada penundaan singkat sebelum perubahan tersedia secara keseluruhanAWS KMS. Untuk informasi selengkapnya, lihat [Mengelola akses ke kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) di [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/).
[Tindakan](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions) KMS berikut digunakan untuk kunci yang mengenkripsi model kustom dan disalin:
1. [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) [— Membuat hibah untuk kunci yang dikelola pelanggan dengan mengizinkan akses utama layanan Amazon Bedrock ke kunci KMS yang ditentukan melalui operasi hibah.](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) Untuk informasi selengkapnya tentang hibah, lihat [Hibah AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) Panduan [AWS Key Management ServicePengembang](https://docs.aws.amazon.com/kms/latest/developerguide/).
**catatan**
Amazon Bedrock juga menyiapkan kepala sekolah pensiun dan secara otomatis menghentikan hibah setelah tidak lagi diperlukan.
1. [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan Amazon Bedrock memvalidasi kunci.
1. [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Menyediakan detail kunci yang dikelola pelanggan untuk memungkinkan Amazon Bedrock memvalidasi akses pengguna. Amazon Bedrock menyimpan ciphertext yang dihasilkan bersama model kustom untuk digunakan sebagai pemeriksaan validasi tambahan terhadap pengguna model kustom.
1. [KMS: Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) — Mendekripsi ciphertext yang disimpan untuk memvalidasi bahwa peran memiliki akses yang tepat ke kunci KMS yang mengenkripsi model kustom.
Sebagai praktik keamanan terbaik, kami menyarankan Anda menyertakan [kms: ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service) condition key untuk membatasi akses ke kunci ke layanan Amazon Bedrock.
Meskipun Anda hanya dapat melampirkan satu kebijakan kunci ke kunci, Anda dapat melampirkan beberapa pernyataan ke kebijakan kunci dengan menambahkan staement ke daftar di `Statement` bidang kebijakan.
Pernyataan berikut relevan untuk mengenkripsi model kustom dan disalin:
### Enkripsi model
Untuk menggunakan kunci terkelola pelanggan Anda untuk mengenkripsi model kustom atau disalin, sertakan pernyataan berikut dalam kebijakan kunci untuk mengizinkan enkripsi model. Di `Principal` bidang, tambahkan akun yang ingin Anda izinkan untuk mengenkripsi dan mendekripsi kunci ke daftar yang dipetakan oleh `AWS` subbidang tersebut. Jika Anda menggunakan tombol `kms:ViaService` kondisi, Anda dapat menambahkan baris untuk setiap Wilayah, atau gunakan *\$1* sebagai pengganti *\$1\$1region\$1* untuk mengizinkan semua Wilayah yang mendukung Amazon Bedrock.
```
{
"Sid": "PermissionsEncryptDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::${account-id}:role/${role}"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.${region}.amazonaws.com"
]
}
}
}
```
### Izinkan akses ke model terenkripsi
Untuk mengizinkan akses ke model yang telah dienkripsi dengan kunci KMS, sertakan pernyataan berikut dalam kebijakan kunci untuk mengizinkan dekripsi kunci. Di `Principal` bidang, tambahkan akun yang ingin Anda izinkan untuk mendekripsi kunci ke daftar yang dipetakan `AWS` subbidang. Jika Anda menggunakan tombol `kms:ViaService` kondisi, Anda dapat menambahkan baris untuk setiap Wilayah, atau gunakan *\$1* sebagai pengganti *\$1\$1region\$1* untuk mengizinkan semua Wilayah yang mendukung Amazon Bedrock.
```
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::${account-id}:role/${role}"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.${region}.amazonaws.com"
]
}
}
}
```
Untuk mempelajari kebijakan utama yang perlu Anda buat, perluas bagian yang sesuai dengan kasus penggunaan Anda:
### Siapkan izin kunci untuk mengenkripsi model khusus
Jika Anda berencana untuk mengenkripsi model yang Anda sesuaikan dengan kunci KMS, kebijakan kunci untuk kunci tersebut akan bergantung pada kasus penggunaan Anda. Perluas bagian yang sesuai dengan kasus penggunaan Anda:
#### Peran yang akan menyesuaikan model dan peran yang akan memanggil model adalah sama
Jika peran yang akan memanggil model kustom sama dengan peran yang akan menyesuaikan model, Anda hanya perlu pernyataan dari[Enkripsi model](#encryption-key-policy-encrypt). Di `Principal` bidang dalam templat kebijakan berikut, tambahkan akun yang ingin Anda izinkan untuk menyesuaikan dan memanggil model kustom ke daftar tempat `AWS` subbidang dipetakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCustomModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCustomModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
#### Peran yang akan menyesuaikan model dan peran yang akan memanggil model berbeda
Jika peran yang akan memanggil model kustom berbeda dari peran yang akan menyesuaikan model, Anda memerlukan pernyataan dari [Enkripsi model](#encryption-key-policy-encrypt) dan[Izinkan akses ke model terenkripsi](#encryption-key-policy-decrypt). Ubah pernyataan dalam templat kebijakan berikut sebagai berikut:
1. Pernyataan pertama memungkinkan enkripsi dan dekripsi kunci. Di `Principal` bidang, tambahkan akun yang ingin Anda izinkan untuk menyesuaikan model kustom ke daftar yang dipetakan `AWS` subbidang.
1. Pernyataan kedua hanya memungkinkan dekripsi kunci. Di `Principal` bidang, tambahkan akun yang hanya ingin Anda izinkan untuk memanggil model kustom ke daftar tempat `AWS` subbidang dipetakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCustomModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCustomModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
},
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
### Siapkan izin kunci untuk menyalin model kustom
Ketika Anda menyalin model yang Anda miliki atau yang telah dibagikan dengan Anda, Anda mungkin harus mengelola hingga dua kebijakan utama:
#### Kebijakan kunci untuk kunci yang akan mengenkripsi model yang disalin
Jika Anda berencana menggunakan kunci KMS untuk mengenkripsi model yang disalin, kebijakan kunci untuk kunci tersebut akan bergantung pada kasus penggunaan Anda. Perluas bagian yang sesuai dengan kasus penggunaan Anda:
##### Peran yang akan menyalin model dan peran yang akan memanggil model adalah sama
Jika peran yang akan memanggil model yang disalin sama dengan peran yang akan membuat salinan model, Anda hanya perlu pernyataan dari. [Enkripsi model](#encryption-key-policy-encrypt) Di `Principal` bidang dalam templat kebijakan berikut, tambahkan akun yang ingin Anda izinkan untuk menyalin dan memanggil model yang disalin ke daftar yang dipetakan `AWS` subbidang:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCopiedModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
##### Peran yang akan menyalin model dan peran yang akan memanggil model berbeda
Jika peran yang akan memanggil model yang disalin berbeda dari peran yang akan membuat salinan model, Anda memerlukan pernyataan dari [Enkripsi model](#encryption-key-policy-encrypt) dan. [Izinkan akses ke model terenkripsi](#encryption-key-policy-decrypt) Ubah pernyataan dalam templat kebijakan berikut sebagai berikut:
1. Pernyataan pertama memungkinkan enkripsi dan dekripsi kunci. Di `Principal` bidang, tambahkan akun yang ingin Anda izinkan untuk membuat model yang disalin ke daftar yang dipetakan oleh `AWS` subbidang.
1. Pernyataan kedua hanya memungkinkan dekripsi kunci. Di `Principal` bidang, tambahkan akun yang hanya ingin Anda izinkan untuk memanggil model yang disalin ke daftar yang dipetakan oleh `AWS` subbidang.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCopiedModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
},
{
"Sid": "PermissionsDecryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
#### Kebijakan kunci untuk kunci yang mengenkripsi model sumber yang akan disalin
Jika model sumber yang akan Anda salin dienkripsi dengan kunci KMS, lampirkan pernyataan dari kebijakan kunci [Izinkan akses ke model terenkripsi](#encryption-key-policy-decrypt) untuk kunci yang mengenkripsi model sumber. Stamtement ini memungkinkan peran salinan model untuk mendekripsi kunci yang mengenkripsi model sumber. Di `Principal` bidang dalam templat kebijakan berikut, tambahkan akun yang ingin Anda izinkan untuk menyalin model sumber ke daftar yang dipetakan `AWS` subbidang:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsSourceModelKey",
"Statement": [
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Pantau kunci enkripsi Anda untuk layanan Amazon Bedrock
Saat Anda menggunakan kunci terkelola AWS KMS pelanggan dengan sumber daya Amazon Bedrock, Anda dapat menggunakan [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)atau [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) untuk melacak permintaan yang dikirimkan Amazon Bedrock. AWS KMS
Berikut ini adalah contoh AWS CloudTrail peristiwa [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)untuk memantau operasi KMS yang dipanggil oleh Amazon Bedrock untuk membuat hibah utama:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForModelCopy/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForModelCopy",
"accountId": "111122223333",
"userName": "RoleForModelCopy"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Enkripsi data pelatihan, validasi, dan output
Saat Anda menggunakan Amazon Bedrock untuk menjalankan pekerjaan penyesuaian model, Anda menyimpan file input di bucket Amazon S3 Anda. Saat pekerjaan selesai, Amazon Bedrock menyimpan file metrik keluaran di bucket S3 yang Anda tentukan saat membuat pekerjaan dan artefak model kustom yang dihasilkan dalam bucket S3 yang dikendalikan oleh. AWS
File output dienkripsi dengan konfigurasi enkripsi bucket S3. Ini dienkripsi baik dengan enkripsi [sisi server SSE-S3 atau dengan enkripsi AWS KMS SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)[, tergantung pada bagaimana Anda mengatur bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).