Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Menggunakan kunci terkelola pelanggan (CMK) Jika Anda berencana menggunakan kunci yang dikelola pelanggan untuk mengenkripsi model impor kustom Anda, selesaikan langkah-langkah berikut: 1. Buat kunci yang dikelola pelanggan denganAWS Key Management Service. 1. Lampirkan [kebijakan berbasis sumber daya](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html) dengan izin untuk peran tertentu untuk membuat dan menggunakan model impor khusus. **Buat kunci terkelola pelanggan** Pertama, pastikan Anda memiliki `CreateKey` izin. Kemudian ikuti langkah-langkah [membuat kunci](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) untuk membuat kunci yang dikelola pelanggan baik di AWS KMS konsol atau operasi [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API. Pastikan untuk membuat kunci enkripsi simetris. Pembuatan kunci mengembalikan kunci `Arn` yang dapat Anda gunakan sebagai `importedModelKmsKeyId ` saat mengimpor model kustom dengan impor model khusus. **Buat kebijakan kunci dan lampirkan ke kunci yang dikelola pelanggan** Kebijakan utama adalah [kebijakan berbasis sumber daya](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html) yang Anda lampirkan ke kunci yang dikelola pelanggan untuk mengontrol akses ke sana. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Anda dapat menentukan kebijakan kunci saat membuat kunci terkelola pelanggan. Anda dapat memodifikasi kebijakan kunci kapan saja, tetapi mungkin ada penundaan singkat sebelum perubahan tersedia secara keseluruhanAWS KMS. Untuk informasi selengkapnya, lihat [Mengelola akses ke kunci terkelola pelanggan](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#managing-access) di *Panduan Pengembang Layanan Manajemen AWS Kunci*. **Enkripsi model kustom yang diimpor** Untuk menggunakan kunci yang dikelola pelanggan untuk mengenkripsi model kustom yang diimpor, Anda harus menyertakan AWS KMS operasi berikut dalam kebijakan kunci: + [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) [— membuat hibah untuk kunci yang dikelola pelanggan dengan mengizinkan akses utama layanan Amazon Bedrock ke kunci KMS yang ditentukan melalui operasi hibah.](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) Untuk informasi selengkapnya tentang hibah, lihat [Hibah AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) Panduan *Pengembang Layanan Manajemen AWS Utama*. **catatan** Amazon Bedrock juga menyiapkan kepala sekolah pensiun dan secara otomatis menghentikan hibah setelah tidak lagi diperlukan. + [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — menyediakan detail kunci yang dikelola pelanggan untuk memungkinkan Amazon Bedrock memvalidasi kunci. + [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Menyediakan detail kunci yang dikelola pelanggan untuk memungkinkan Amazon Bedrock memvalidasi akses pengguna. Amazon Bedrock menyimpan ciphertext yang dihasilkan bersama model kustom yang diimpor untuk digunakan sebagai pemeriksaan validasi tambahan terhadap pengguna model kustom yang diimpor + [KMS: Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) — Mendekripsi ciphertext yang disimpan untuk memvalidasi bahwa peran memiliki akses yang tepat ke kunci KMS yang mengenkripsi model kustom yang diimpor. Berikut ini adalah contoh kebijakan yang dapat Anda lampirkan ke kunci untuk peran yang akan Anda gunakan untuk mengenkripsi model yang Anda impor: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "KMS key policy for a key to encrypt an imported custom model", "Statement": [ { "Sid": "Permissions for model import API invocation role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/role" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" } ] } ``` ------ **Dekripsi model kustom impor terenkripsi** Jika Anda mengimpor model kustom yang telah dienkripsi oleh kunci terkelola pelanggan lain, Anda harus menambahkan `kms:Decrypt` izin untuk peran yang sama, seperti dalam kebijakan berikut: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "KMS key policy for a key that encrypted a custom imported model", "Statement": [ { "Sid": "Permissions for model import API invocation role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/role" }, "Action": [ "kms:Decrypt" ], "Resource": "*" } ] } ``` ------