Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan
Keamanan di Amazon Bedrock mencakup beberapa lapisan perlindungan untuk data, aplikasi, dan infrastruktur Anda.
**Topics**
+ [Perlindungan data](data-protection.md)
+ [Manajemen identitas dan akses untuk Amazon Bedrock](security-iam.md)
+ [Akses lintas akun ke bucket Amazon S3 untuk pekerjaan impor model khusus](cross-account-access-cmi.md)
+ [Validasi kepatuhan untuk Amazon Bedrock](compliance-validation.md)
+ [Tanggapan insiden di Amazon Bedrock](security-incident-response.md)
+ [Ketahanan di Amazon Bedrock](disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur di Amazon Bedrock](infrastructure-security.md)
+ [Pencegahan "confused deputy" lintas layanan](cross-service-confused-deputy-prevention.md)
+ [Analisis konfigurasi dan kerentanan di Amazon Bedrock](vulnerability-analysis-and-management.md)
+ [Deteksi penyalahgunaan Amazon Bedrock](abuse-detection.md)
+ [Keamanan injeksi yang cepat](prompt-injection.md)
# Perlindungan data
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Amazon Bedrock. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensi dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Amazon Bedrock atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
Amazon Bedrock tidak menyimpan atau mencatat permintaan dan penyelesaian Anda. Amazon Bedrock tidak menggunakan petunjuk dan penyelesaian Anda untuk melatih AWS model apa pun dan tidak mendistribusikannya ke pihak ketiga.
Amazon Bedrock memiliki konsep Model Deployment Account—di setiap Wilayah AWS di mana Amazon Bedrock tersedia, ada satu akun penerapan tersebut per penyedia model. Akun ini dimiliki dan dioperasikan oleh tim layanan Amazon Bedrock. Penyedia model tidak memiliki akses ke akun tersebut. Setelah pengiriman model dari penyedia model ke AWS, Amazon Bedrock akan melakukan salinan mendalam dari inferensi penyedia model dan perangkat lunak pelatihan ke dalam akun tersebut untuk penyebaran. Karena penyedia model tidak memiliki akses ke akun tersebut, mereka tidak memiliki akses ke log Amazon Bedrock atau ke permintaan dan penyelesaian pelanggan.
**Topics**
+ [Enkripsi data](data-encryption.md)
+ [Lindungi data Anda menggunakan Amazon VPC dan AWS PrivateLink](usingVPC.md)
# Enkripsi data
Amazon Bedrock menggunakan enkripsi untuk melindungi data saat istirahat dan data dalam perjalanan.
**Enkripsi dalam perjalanan**
Di dalam AWS, semua data antar-jaringan dalam perjalanan mendukung enkripsi TLS 1.2.
Permintaan ke Amazon Bedrock API dan konsol dibuat melalui koneksi aman (SSL). Anda meneruskan peran AWS Identity and Access Management (IAM) ke Amazon Bedrock untuk memberikan izin mengakses sumber daya atas nama Anda untuk pelatihan dan penerapan.
**Enkripsi saat istirahat**
Amazon Bedrock menyediakan [Enkripsi model khusus](encryption-custom-job.md) saat istirahat.
## Manajemen kunci
Gunakan AWS Key Management Service untuk mengelola kunci yang Anda gunakan untuk mengenkripsi sumber daya Anda. Untuk informasi lebih lanjut, lihat [AWS Key Management Service konsep](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys). Anda dapat mengenkripsi sumber daya berikut dengan kunci KMS.
+ Melalui Amazon Bedrock
+ Pekerjaan kustomisasi model dan model kustom outputnya — Selama pembuatan lowongan kerja di konsol atau dengan menentukan `customModelKmsKeyId` bidang dalam panggilan [CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)API.
+ Agen — Selama pembuatan agen di konsol atau dengan menentukan `customerEncryptionKeyArn` bidang dalam panggilan [CreateAgent](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateAgent.html)API.
+ Pekerjaan penyerapan sumber data untuk basis pengetahuan — Selama pembuatan basis pengetahuan di konsol atau dengan menentukan `kmsKeyArn` bidang dalam panggilan [CreateDataSource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateDataSource.html)atau [UpdateDataSource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_UpdateDataSource.html)API.
+ Toko vektor di Amazon OpenSearch Service — Selama pembuatan toko vektor. Untuk informasi selengkapnya, lihat [Membuat, mencantumkan, dan menghapus koleksi OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-manage.html) dan [Enkripsi data saat istirahat untuk OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html).
+ Pekerjaan evaluasi model — Saat Anda membuat pekerjaan evaluasi model di konsol atau dengan menentukan ARN kunci ` customerEncryptionKeyId` dalam panggilan API [CreateEvaluationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateEvaluationJob.html).
+ Melalui Amazon S3 — Untuk informasi selengkapnya, lihat [Menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)).
+ Pelatihan, validasi, dan data keluaran untuk kustomisasi model
+ Sumber data untuk basis pengetahuan
+ Melalui AWS Secrets Manager - Untuk informasi lebih lanjut, lihat [Enkripsi rahasia dan dekripsi](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) di AWS Secrets Manager
+ Toko vektor untuk model pihak ketiga
Setelah mengenkripsi sumber daya, Anda dapat menemukan ARN kunci KMS dengan memilih sumber daya dan melihat **Detailnya** di konsol atau dengan menggunakan panggilan API berikut`Get`.
+ [GetModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_GetModelCustomizationJob.html)
+ [GetAgent](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_GetAgent.html)
+ [GetIngestionJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_GetIngestionJob.html)
# Enkripsi model khusus
Amazon Bedrock menggunakan data pelatihan Anda dengan [CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)tindakan, atau dengan [konsol](model-customization-submit.md), untuk membuat model kustom yang merupakan versi yang disetel dengan baik dari model dasar Amazon Bedrock. Model kustom Anda dikelola dan disimpan olehAWS.
Amazon Bedrock menggunakan data fine tuning yang Anda berikan hanya untuk menyempurnakan model foundation Amazon Bedrock. Amazon Bedrock tidak menggunakan data fine tuning untuk tujuan lain apa pun. Data pelatihan Anda tidak digunakan untuk melatih Titan model dasar atau didistribusikan ke pihak ketiga. Data penggunaan lainnya, seperti cap waktu penggunaan, akun yang dicatat IDs, dan informasi lain yang dicatat oleh layanan, juga tidak digunakan untuk melatih model.
Tak satu pun dari data pelatihan atau validasi yang Anda berikan untuk fine tuning disimpan oleh Amazon Bedrock, setelah pekerjaan fine tuning selesai.
Perhatikan bahwa model yang disetel dengan baik dapat memutar ulang beberapa data fine tuning sambil menghasilkan penyelesaian. Jika aplikasi Anda tidak boleh mengekspos data fine tuning dalam bentuk apa pun, Anda harus terlebih dahulu menyaring data rahasia dari data pelatihan Anda. Jika Anda telah membuat model yang disesuaikan menggunakan data rahasia secara tidak sengaja, Anda dapat menghapus model kustom itu, menyaring informasi rahasia dari data pelatihan, dan kemudian membuat model baru.
Untuk mengenkripsi model khusus (termasuk model yang disalin), Amazon Bedrock menawarkan dua opsi:
1. **Kunci milik AWS**— Secara default, Amazon Bedrock mengenkripsi model khusus dengan. Kunci milik AWS Anda tidak dapat melihat, mengelola, atau menggunakanKunci milik AWS, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi lebih lanjut, lihat [Kunci milik AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) dalam *Panduan PengembangAWS Key Management Service*.
1. **Kunci terkelola pelanggan** - Anda dapat memilih untuk mengenkripsi model kustom dengan kunci terkelola pelanggan yang Anda kelola sendiri. Untuk informasi selengkapnyaAWS KMS keys, lihat [Kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS Key Management Service Pengembang*.
**catatan**
Amazon Bedrock secara otomatis mengaktifkan enkripsi saat istirahat menggunakan Kunci milik AWS tanpa biaya. Jika Anda menggunakan kunci yang dikelola pelanggan, AWS KMS dikenakan biaya. Untuk informasi selengkapnya tentang harga, silakan lihat [harga AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
Untuk informasi selengkapnyaAWS KMS, lihat [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/).
**Topics**
+ [Bagaimana Amazon Bedrock menggunakan hibah di AWS KMS](#encryption-br-grants)
+ [Memahami cara membuat kunci yang dikelola pelanggan dan cara melampirkan kebijakan kunci ke dalamnya](#encryption-key-policy)
+ [Izin dan kebijakan utama untuk model kustom dan disalin](#encryption-cm-statements)
+ [Pantau kunci enkripsi Anda untuk layanan Amazon Bedrock](#encryption-monitor-key)
+ [Enkripsi data pelatihan, validasi, dan output](#encryption-custom-job-data)
## Bagaimana Amazon Bedrock menggunakan hibah di AWS KMS
Jika Anda menentukan kunci yang dikelola pelanggan untuk mengenkripsi model kustom untuk penyesuaian model atau pekerjaan penyalinan model, Amazon Bedrock akan membuat [hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) KMS **utama** yang terkait dengan model kustom atas nama Anda dengan mengirimkan permintaan ke. [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)AWS KMS Hibah ini memungkinkan Amazon Bedrock untuk mengakses dan menggunakan kunci yang dikelola pelanggan Anda. Hibah AWS KMS digunakan untuk memberikan Amazon Bedrock akses ke kunci KMS di akun pelanggan.
Amazon Bedrock memerlukan hibah utama untuk menggunakan kunci terkelola pelanggan Anda untuk operasi internal berikut:
+ Kirim [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)permintaan AWS KMS untuk memverifikasi bahwa ID kunci KMS yang dikelola pelanggan simetris yang Anda masukkan saat membuat pekerjaan valid.
+ Kirim [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)dan [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) permintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci yang dikelola pelanggan Anda dan mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi artefak model.
+ Kirim [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)permintaan AWS KMS untuk membuat hibah sekunder cakupan ke bawah dengan subset dari operasi di atas (`DescribeKey`,,`Decrypt`), `GenerateDataKey` untuk eksekusi asinkron kustomisasi model, salinan model, atau pembuatan Throughput yang Disediakan.
+ Amazon Bedrock menentukan prinsipal pensiun selama pembuatan hibah, sehingga layanan dapat mengirim permintaan. [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)
Anda memiliki akses penuh ke AWS KMS kunci yang dikelola pelanggan Anda. [Anda dapat mencabut akses ke hibah dengan mengikuti langkah-langkah di [Pensiun dan mencabut hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grant-manage.html#grant-delete) di [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/) atau menghapus akses layanan ke kunci yang dikelola pelanggan Anda kapan saja dengan memodifikasi kebijakan utama.](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) Jika Anda melakukannya, Amazon Bedrock tidak akan dapat mengakses model khusus yang dienkripsi oleh kunci Anda.
### Siklus hidup hibah primer dan sekunder untuk model khusus
+ **Hibah primer** memiliki umur yang panjang dan tetap aktif selama model kustom terkait masih digunakan. Ketika model kustom dihapus, hibah utama yang sesuai secara otomatis dihentikan.
+ **Hibah sekunder** berumur pendek. Mereka secara otomatis pensiun segera setelah operasi yang dilakukan Amazon Bedrock atas nama pelanggan selesai. Misalnya, setelah pekerjaan penyalinan model selesai, hibah sekunder yang memungkinkan Amazon Bedrock mengenkripsi model kustom yang disalin akan segera dihentikan.
## Memahami cara membuat kunci yang dikelola pelanggan dan cara melampirkan kebijakan kunci ke dalamnya
Untuk mengenkripsi AWS sumber daya dengan kunci yang Anda buat dan kelola, Anda melakukan langkah-langkah umum berikut:
1. (Prasyarat) Pastikan bahwa peran IAM Anda memiliki izin untuk tindakan tersebut. [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)
1. Ikuti langkah-langkah di [Membuat kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) untuk membuat kunci yang dikelola pelanggan dengan menggunakan AWS KMS konsol atau [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operasi.
1. Pembuatan kunci mengembalikan kunci yang `Arn` dapat Anda gunakan untuk operasi yang memerlukan penggunaan kunci (misalnya, saat [mengirimkan pekerjaan penyesuaian model](model-customization-submit.md) atau [menjalankan inferensi model](inference-invoke.md)).
1. Buat dan lampirkan kebijakan kunci ke kunci dengan izin yang diperlukan. Untuk membuat kebijakan utama, ikuti langkah-langkah di [Membuat kebijakan utama](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) di Panduan AWS Key Management Service Pengembang.
## Izin dan kebijakan utama untuk model kustom dan disalin
Setelah Anda membuat kunci KMS, Anda melampirkan kebijakan kunci untuk itu. Kebijakan utama adalah [kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) yang Anda lampirkan ke kunci yang dikelola pelanggan untuk mengontrol akses ke sana. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Anda dapat menentukan kebijakan kunci saat membuat kunci terkelola pelanggan. Anda dapat mengubah kebijakan kunci kapan saja, tetapi mungkin ada penundaan singkat sebelum perubahan tersedia secara keseluruhanAWS KMS. Untuk informasi selengkapnya, lihat [Mengelola akses ke kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) di [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/).
[Tindakan](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions) KMS berikut digunakan untuk kunci yang mengenkripsi model kustom dan disalin:
1. [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) [— Membuat hibah untuk kunci yang dikelola pelanggan dengan mengizinkan akses utama layanan Amazon Bedrock ke kunci KMS yang ditentukan melalui operasi hibah.](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) Untuk informasi selengkapnya tentang hibah, lihat [Hibah AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) Panduan [AWS Key Management ServicePengembang](https://docs.aws.amazon.com/kms/latest/developerguide/).
**catatan**
Amazon Bedrock juga menyiapkan kepala sekolah pensiun dan secara otomatis menghentikan hibah setelah tidak lagi diperlukan.
1. [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan Amazon Bedrock memvalidasi kunci.
1. [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Menyediakan detail kunci yang dikelola pelanggan untuk memungkinkan Amazon Bedrock memvalidasi akses pengguna. Amazon Bedrock menyimpan ciphertext yang dihasilkan bersama model kustom untuk digunakan sebagai pemeriksaan validasi tambahan terhadap pengguna model kustom.
1. [KMS: Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) — Mendekripsi ciphertext yang disimpan untuk memvalidasi bahwa peran memiliki akses yang tepat ke kunci KMS yang mengenkripsi model kustom.
Sebagai praktik keamanan terbaik, kami menyarankan Anda menyertakan [kms: ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service) condition key untuk membatasi akses ke kunci ke layanan Amazon Bedrock.
Meskipun Anda hanya dapat melampirkan satu kebijakan kunci ke kunci, Anda dapat melampirkan beberapa pernyataan ke kebijakan kunci dengan menambahkan staement ke daftar di `Statement` bidang kebijakan.
Pernyataan berikut relevan untuk mengenkripsi model kustom dan disalin:
### Enkripsi model
Untuk menggunakan kunci terkelola pelanggan Anda untuk mengenkripsi model kustom atau disalin, sertakan pernyataan berikut dalam kebijakan kunci untuk mengizinkan enkripsi model. Di `Principal` bidang, tambahkan akun yang ingin Anda izinkan untuk mengenkripsi dan mendekripsi kunci ke daftar yang dipetakan oleh `AWS` subbidang tersebut. Jika Anda menggunakan tombol `kms:ViaService` kondisi, Anda dapat menambahkan baris untuk setiap Wilayah, atau gunakan *\$1* sebagai pengganti *\$1\$1region\$1* untuk mengizinkan semua Wilayah yang mendukung Amazon Bedrock.
```
{
"Sid": "PermissionsEncryptDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::${account-id}:role/${role}"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.${region}.amazonaws.com"
]
}
}
}
```
### Izinkan akses ke model terenkripsi
Untuk mengizinkan akses ke model yang telah dienkripsi dengan kunci KMS, sertakan pernyataan berikut dalam kebijakan kunci untuk mengizinkan dekripsi kunci. Di `Principal` bidang, tambahkan akun yang ingin Anda izinkan untuk mendekripsi kunci ke daftar yang dipetakan `AWS` subbidang. Jika Anda menggunakan tombol `kms:ViaService` kondisi, Anda dapat menambahkan baris untuk setiap Wilayah, atau gunakan *\$1* sebagai pengganti *\$1\$1region\$1* untuk mengizinkan semua Wilayah yang mendukung Amazon Bedrock.
```
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::${account-id}:role/${role}"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.${region}.amazonaws.com"
]
}
}
}
```
Untuk mempelajari kebijakan utama yang perlu Anda buat, perluas bagian yang sesuai dengan kasus penggunaan Anda:
### Siapkan izin kunci untuk mengenkripsi model khusus
Jika Anda berencana untuk mengenkripsi model yang Anda sesuaikan dengan kunci KMS, kebijakan kunci untuk kunci tersebut akan bergantung pada kasus penggunaan Anda. Perluas bagian yang sesuai dengan kasus penggunaan Anda:
#### Peran yang akan menyesuaikan model dan peran yang akan memanggil model adalah sama
Jika peran yang akan memanggil model kustom sama dengan peran yang akan menyesuaikan model, Anda hanya perlu pernyataan dari[Enkripsi model](#encryption-key-policy-encrypt). Di `Principal` bidang dalam templat kebijakan berikut, tambahkan akun yang ingin Anda izinkan untuk menyesuaikan dan memanggil model kustom ke daftar tempat `AWS` subbidang dipetakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCustomModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCustomModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
#### Peran yang akan menyesuaikan model dan peran yang akan memanggil model berbeda
Jika peran yang akan memanggil model kustom berbeda dari peran yang akan menyesuaikan model, Anda memerlukan pernyataan dari [Enkripsi model](#encryption-key-policy-encrypt) dan[Izinkan akses ke model terenkripsi](#encryption-key-policy-decrypt). Ubah pernyataan dalam templat kebijakan berikut sebagai berikut:
1. Pernyataan pertama memungkinkan enkripsi dan dekripsi kunci. Di `Principal` bidang, tambahkan akun yang ingin Anda izinkan untuk menyesuaikan model kustom ke daftar yang dipetakan `AWS` subbidang.
1. Pernyataan kedua hanya memungkinkan dekripsi kunci. Di `Principal` bidang, tambahkan akun yang hanya ingin Anda izinkan untuk memanggil model kustom ke daftar tempat `AWS` subbidang dipetakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCustomModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCustomModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
},
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
### Siapkan izin kunci untuk menyalin model kustom
Ketika Anda menyalin model yang Anda miliki atau yang telah dibagikan dengan Anda, Anda mungkin harus mengelola hingga dua kebijakan utama:
#### Kebijakan kunci untuk kunci yang akan mengenkripsi model yang disalin
Jika Anda berencana menggunakan kunci KMS untuk mengenkripsi model yang disalin, kebijakan kunci untuk kunci tersebut akan bergantung pada kasus penggunaan Anda. Perluas bagian yang sesuai dengan kasus penggunaan Anda:
##### Peran yang akan menyalin model dan peran yang akan memanggil model adalah sama
Jika peran yang akan memanggil model yang disalin sama dengan peran yang akan membuat salinan model, Anda hanya perlu pernyataan dari. [Enkripsi model](#encryption-key-policy-encrypt) Di `Principal` bidang dalam templat kebijakan berikut, tambahkan akun yang ingin Anda izinkan untuk menyalin dan memanggil model yang disalin ke daftar yang dipetakan `AWS` subbidang:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCopiedModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
##### Peran yang akan menyalin model dan peran yang akan memanggil model berbeda
Jika peran yang akan memanggil model yang disalin berbeda dari peran yang akan membuat salinan model, Anda memerlukan pernyataan dari [Enkripsi model](#encryption-key-policy-encrypt) dan. [Izinkan akses ke model terenkripsi](#encryption-key-policy-decrypt) Ubah pernyataan dalam templat kebijakan berikut sebagai berikut:
1. Pernyataan pertama memungkinkan enkripsi dan dekripsi kunci. Di `Principal` bidang, tambahkan akun yang ingin Anda izinkan untuk membuat model yang disalin ke daftar yang dipetakan oleh `AWS` subbidang.
1. Pernyataan kedua hanya memungkinkan dekripsi kunci. Di `Principal` bidang, tambahkan akun yang hanya ingin Anda izinkan untuk memanggil model yang disalin ke daftar yang dipetakan oleh `AWS` subbidang.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCopiedModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
},
{
"Sid": "PermissionsDecryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
#### Kebijakan kunci untuk kunci yang mengenkripsi model sumber yang akan disalin
Jika model sumber yang akan Anda salin dienkripsi dengan kunci KMS, lampirkan pernyataan dari kebijakan kunci [Izinkan akses ke model terenkripsi](#encryption-key-policy-decrypt) untuk kunci yang mengenkripsi model sumber. Stamtement ini memungkinkan peran salinan model untuk mendekripsi kunci yang mengenkripsi model sumber. Di `Principal` bidang dalam templat kebijakan berikut, tambahkan akun yang ingin Anda izinkan untuk menyalin model sumber ke daftar yang dipetakan `AWS` subbidang:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsSourceModelKey",
"Statement": [
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Pantau kunci enkripsi Anda untuk layanan Amazon Bedrock
Saat Anda menggunakan kunci terkelola AWS KMS pelanggan dengan sumber daya Amazon Bedrock, Anda dapat menggunakan [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)atau [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) untuk melacak permintaan yang dikirimkan Amazon Bedrock. AWS KMS
Berikut ini adalah contoh AWS CloudTrail peristiwa [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)untuk memantau operasi KMS yang dipanggil oleh Amazon Bedrock untuk membuat hibah utama:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForModelCopy/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForModelCopy",
"accountId": "111122223333",
"userName": "RoleForModelCopy"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Enkripsi data pelatihan, validasi, dan output
Saat Anda menggunakan Amazon Bedrock untuk menjalankan pekerjaan penyesuaian model, Anda menyimpan file input di bucket Amazon S3 Anda. Saat pekerjaan selesai, Amazon Bedrock menyimpan file metrik keluaran di bucket S3 yang Anda tentukan saat membuat pekerjaan dan artefak model kustom yang dihasilkan dalam bucket S3 yang dikendalikan oleh. AWS
File output dienkripsi dengan konfigurasi enkripsi bucket S3. Ini dienkripsi baik dengan enkripsi [sisi server SSE-S3 atau dengan enkripsi AWS KMS SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)[, tergantung pada bagaimana Anda mengatur bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).
# Enkripsi model kustom yang diimpor
Amazon Bedrock mendukung pembuatan model kustom melalui dua metode yang keduanya menggunakan pendekatan enkripsi yang sama. Model kustom Anda dikelola dan disimpan olehAWS:
+ **Pekerjaan impor model khusus** - Untuk mengimpor model fondasi sumber terbuka yang disesuaikan (seperti Mistral AI atau Llama model).
+ **Buat model khusus** - Untuk mengimpor model Amazon Nova yang Anda sesuaikan di SageMaker AI.
Untuk enkripsi model kustom Anda, Amazon Bedrock menyediakan opsi berikut:
+ **AWSkunci yang dimiliki** - Secara default, Amazon Bedrock mengenkripsi model kustom yang diimpor dengan AWS kunci yang dimiliki. Anda tidak dapat melihat, mengelola, atau menggunakan kunci yang AWS dimiliki, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat [kunci yang AWS dimiliki](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#aws-owned-cmk) di *Panduan Pengembang Layanan Manajemen AWS Kunci*.
+ **Customer managed keys (CMK)** - Anda dapat memilih untuk menambahkan lapisan enkripsi kedua di atas kunci enkripsi yang ada AWS dengan memilih kunci yang dikelola pelanggan (CMK). Anda membuat, memiliki, dan mengelola kunci yang dikelola pelanggan Anda.
Karena Anda memiliki kendali penuh atas lapisan enkripsi ini, di dalamnya Anda dapat melakukan tugas-tugas berikut:
+ Menetapkan dan memelihara kebijakan utama
+ Menetapkan dan memelihara kebijakan dan hibah IAM
+ Mengaktifkan dan menonaktifkan kebijakan utama
+ Putar bahan kriptografi kunci
+ Tambahkan tag
+ Buat alias kunci
+ Kunci jadwal untuk penghapusan
Untuk informasi selengkapnya, lihat [kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan Pengembang Layanan Manajemen AWS Kunci*.
**catatan**
Untuk semua model kustom yang Anda impor, Amazon Bedrock secara otomatis mengaktifkan enkripsi saat istirahat menggunakan kunci yang AWS dimiliki untuk melindungi data pelanggan tanpa biaya. Jika Anda menggunakan kunci yang dikelola pelanggan, AWS KMS dikenakan biaya. Untuk informasi selengkapnya tentang harga, lihat [AWS Key Management ServiceHarga.](https://docs.aws.amazon.com/) .
## Bagaimana Amazon Bedrock menggunakan hibah di AWS KMS
Jika Anda menentukan kunci yang dikelola pelanggan untuk mengenkripsi model yang diimpor. Amazon Bedrock membuat AWS KMS [hibah](https://docs.aws.amazon.com/) **utama** yang terkait dengan model yang diimpor atas nama Anda dengan mengirimkan [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)permintaan keAWS KMS. Hibah ini memungkinkan Amazon Bedrock untuk mengakses dan menggunakan kunci yang dikelola pelanggan Anda. Hibah AWS KMS digunakan untuk memberikan Amazon Bedrock akses ke kunci KMS di akun pelanggan.
Amazon Bedrock memerlukan hibah utama untuk menggunakan kunci terkelola pelanggan Anda untuk operasi internal berikut:
+ Kirim [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)permintaan AWS KMS untuk memverifikasi bahwa ID kunci KMS yang dikelola pelanggan simetris yang Anda masukkan saat membuat pekerjaan valid.
+ Kirim [GenerateDataKey](https://docs.aws.amazon.com//kms/latest/APIReference/API_GenerateDataKey.html)dan [Dekripsi](https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html) permintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci yang dikelola pelanggan Anda dan mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi artefak model.
+ Kirim [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)permintaan AWS KMS untuk membuat hibah sekunder cakupan ke bawah dengan subset dari operasi di atas (`DescribeKey`,,`Decrypt`)`GenerateDataKey`, untuk eksekusi impor model secara asinkron dan untuk inferensi sesuai permintaan.
+ Amazon Bedrock menentukan prinsipal pensiun selama pembuatan hibah, sehingga layanan dapat mengirim permintaan. [RetireGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_RetireGrant.html)
Anda memiliki akses penuh ke AWS KMS kunci yang dikelola pelanggan Anda. Anda dapat mencabut akses ke hibah dengan mengikuti langkah-langkah di [Pensiun dan pencabutan hibah](https://docs.aws.amazon.com//kms/latest/developerguide/grant-manage.html#grant-delete) di *Panduan Pengembang Layanan Manajemen AWS Kunci atau menghapus akses layanan* ke kunci yang dikelola pelanggan Anda kapan saja dengan memodifikasi kebijakan utama. Jika Anda melakukannya, Amazon Bedrock tidak akan dapat mengakses model impor yang dienkripsi oleh kunci Anda.
### Siklus hidup hibah primer dan sekunder untuk model impor khusus
+ **Hibah primer** memiliki umur yang panjang dan tetap aktif selama model kustom terkait masih digunakan. Ketika model impor kustom dihapus, hibah utama yang sesuai secara otomatis dihentikan.
+ **Hibah sekunder** berumur pendek. Mereka secara otomatis pensiun segera setelah operasi yang dilakukan Amazon Bedrock atas nama pelanggan selesai. Misalnya, setelah pekerjaan impor model kustom selesai, hibah sekunder yang memungkinkan Amazon Bedrock mengenkripsi model impor kustom akan segera dihentikan.
# Menggunakan kunci terkelola pelanggan (CMK)
Jika Anda berencana menggunakan kunci yang dikelola pelanggan untuk mengenkripsi model impor kustom Anda, selesaikan langkah-langkah berikut:
1. Buat kunci yang dikelola pelanggan denganAWS Key Management Service.
1. Lampirkan [kebijakan berbasis sumber daya](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html) dengan izin untuk peran tertentu untuk membuat dan menggunakan model impor khusus.
**Buat kunci terkelola pelanggan**
Pertama, pastikan Anda memiliki `CreateKey` izin. Kemudian ikuti langkah-langkah [membuat kunci](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) untuk membuat kunci yang dikelola pelanggan baik di AWS KMS konsol atau operasi [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API. Pastikan untuk membuat kunci enkripsi simetris.
Pembuatan kunci mengembalikan kunci `Arn` yang dapat Anda gunakan sebagai `importedModelKmsKeyId ` saat mengimpor model kustom dengan impor model khusus.
**Buat kebijakan kunci dan lampirkan ke kunci yang dikelola pelanggan**
Kebijakan utama adalah [kebijakan berbasis sumber daya](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html) yang Anda lampirkan ke kunci yang dikelola pelanggan untuk mengontrol akses ke sana. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Anda dapat menentukan kebijakan kunci saat membuat kunci terkelola pelanggan. Anda dapat memodifikasi kebijakan kunci kapan saja, tetapi mungkin ada penundaan singkat sebelum perubahan tersedia secara keseluruhanAWS KMS. Untuk informasi selengkapnya, lihat [Mengelola akses ke kunci terkelola pelanggan](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#managing-access) di *Panduan Pengembang Layanan Manajemen AWS Kunci*.
**Enkripsi model kustom yang diimpor**
Untuk menggunakan kunci yang dikelola pelanggan untuk mengenkripsi model kustom yang diimpor, Anda harus menyertakan AWS KMS operasi berikut dalam kebijakan kunci:
+ [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) [— membuat hibah untuk kunci yang dikelola pelanggan dengan mengizinkan akses utama layanan Amazon Bedrock ke kunci KMS yang ditentukan melalui operasi hibah.](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) Untuk informasi selengkapnya tentang hibah, lihat [Hibah AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) Panduan *Pengembang Layanan Manajemen AWS Utama*.
**catatan**
Amazon Bedrock juga menyiapkan kepala sekolah pensiun dan secara otomatis menghentikan hibah setelah tidak lagi diperlukan.
+ [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — menyediakan detail kunci yang dikelola pelanggan untuk memungkinkan Amazon Bedrock memvalidasi kunci.
+ [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Menyediakan detail kunci yang dikelola pelanggan untuk memungkinkan Amazon Bedrock memvalidasi akses pengguna. Amazon Bedrock menyimpan ciphertext yang dihasilkan bersama model kustom yang diimpor untuk digunakan sebagai pemeriksaan validasi tambahan terhadap pengguna model kustom yang diimpor
+ [KMS: Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) — Mendekripsi ciphertext yang disimpan untuk memvalidasi bahwa peran memiliki akses yang tepat ke kunci KMS yang mengenkripsi model kustom yang diimpor.
Berikut ini adalah contoh kebijakan yang dapat Anda lampirkan ke kunci untuk peran yang akan Anda gunakan untuk mengenkripsi model yang Anda impor:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy for a key to encrypt an imported custom model",
"Statement": [
{
"Sid": "Permissions for model import API invocation role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
}
]
}
```
------
**Dekripsi model kustom impor terenkripsi**
Jika Anda mengimpor model kustom yang telah dienkripsi oleh kunci terkelola pelanggan lain, Anda harus menambahkan `kms:Decrypt` izin untuk peran yang sama, seperti dalam kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy for a key that encrypted a custom imported model",
"Statement": [
{
"Sid": "Permissions for model import API invocation role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
# Memantau kunci enkripsi Anda untuk layanan Amazon Bedrock
Saat Anda menggunakan kunci terkelola AWS KMS pelanggan dengan sumber daya Amazon Bedrock, Anda dapat menggunakan [AWS CloudTrail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-user-guide.html)atau [Amazon CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) untuk melacak permintaan yang dikirimkan Amazon Bedrock. AWS KMS
Berikut ini adalah contoh AWS CloudTrail peristiwa [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)untuk memantau AWS KMS operasi yang dipanggil oleh Amazon Bedrock untuk membuat hibah utama:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForModelImport/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForModelImport",
"accountId": "111122223333",
"userName": "RoleForModelImport"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
[Lampirkan kebijakan berbasis sumber daya berikut ke kunci KMS dengan mengikuti langkah-langkah di Membuat kebijakan.](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-overview.html) Kebijakan tersebut berisi dua pernyataan.
1. Izin untuk peran untuk mengenkripsi artefak kustomisasi model. Tambahkan ARNs peran pembuat model kustom yang diimpor ke `Principal` bidang.
1. Izin untuk peran untuk menggunakan model kustom yang diimpor dalam inferensi. Tambahkan ARNs peran pengguna model kustom yang diimpor ke `Principal` bidang.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS Key Policy",
"Statement": [
{
"Sid": "Permissions for imported model builders",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Sid": "Permissions for imported model users",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/role"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
]
}
```
------
# Enkripsi dalam Otomasi Amazon Bedrock Data
Amazon BedrockOtomasi Data (BDA) menggunakan enkripsi untuk melindungi data Anda saat istirahat. Ini termasuk cetak biru, proyek, dan wawasan yang diekstraksi yang disimpan oleh layanan. BDA menawarkan dua opsi untuk mengenkripsi data Anda:
1. AWSkunci yang dimiliki — Secara default, BDA mengenkripsi data Anda dengan AWS kunci yang dimiliki. Anda tidak dapat melihat, mengelola, atau menggunakan kunci yang AWS dimiliki, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat [kunci yang AWS dimiliki](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) di Panduan Pengembang Layanan Manajemen AWS Kunci.
1. Kunci terkelola pelanggan — Anda dapat memilih untuk mengenkripsi data Anda dengan kunci terkelola pelanggan yang Anda kelola sendiri. Untuk informasi selengkapnya tentang AWS KMS kunci, lihat [Kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di Panduan Pengembang Layanan Manajemen AWS Kunci. BDA tidak mendukung kunci yang dikelola pelanggan untuk digunakan di Amazon Bedrock konsol, hanya untuk operasi API.
Amazon BedrockOtomatisasi Data secara otomatis memungkinkan enkripsi saat istirahat menggunakan kunci yang AWS dimiliki tanpa biaya. Jika Anda menggunakan kunci yang dikelola pelanggan, AWS KMS dikenakan biaya. Untuk informasi selengkapnya tentang harga, lihat AWS KMS [harga](https://aws.amazon.com/kms/pricing/).
## Bagaimana Amazon Bedrock menggunakan hibah di AWS KMS
Jika Anda menentukan kunci terkelola pelanggan untuk enkripsi BDA Anda saat memanggil invokeDataAutomation Async, layanan akan membuat hibah yang terkait dengan sumber daya Anda atas nama Anda dengan mengirimkan permintaan ke. CreateGrant AWS KMS Hibah ini memungkinkan BDA untuk mengakses dan menggunakan kunci yang dikelola pelanggan Anda.
BDA menggunakan hibah untuk kunci yang dikelola pelanggan Anda untuk operasi internal berikut:
+ DescribeKey — Kirim permintaan AWS KMS untuk memverifikasi bahwa ID AWS KMS kunci terkelola pelanggan simetris yang Anda berikan valid.
+ GenerateDataKey dan Dekripsi - Kirim permintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci yang dikelola pelanggan Anda dan mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi sumber daya Anda.
+ CreateGrant — Kirim permintaan AWS KMS untuk membuat hibah cakupan bawah dengan subset dari operasi di atas (DescribeKey,, Dekripsi) GenerateDataKey, untuk eksekusi operasi asinkron.
Anda memiliki akses penuh ke AWS KMS kunci yang dikelola pelanggan Anda. Anda dapat mencabut akses ke hibah dengan mengikuti langkah-langkah di Pensiun dan pencabutan hibah di Panduan AWS KMS Pengembang atau menghapus akses layanan ke kunci yang dikelola pelanggan Anda kapan saja dengan memodifikasi kebijakan utama. Jika Anda melakukannya, BDA tidak akan dapat mengakses sumber daya yang dienkripsi oleh kunci Anda.
Jika Anda memulai panggilan invokeDataAutomation Async baru setelah mencabut hibah, BDA akan membuat ulang hibah tersebut. Hibah dihentikan oleh BDA setelah 30 jam.
## Membuat kunci yang dikelola pelanggan dan melampirkan kebijakan utama
Untuk mengenkripsi sumber daya BDA dengan kunci yang Anda buat dan kelola, ikuti langkah-langkah umum berikut:
1. (Prasyarat) Pastikan bahwa peran IAM Anda memiliki izin untuk tindakan tersebut. CreateKey
1. Ikuti langkah-langkah di [Membuat kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) untuk membuat kunci yang dikelola pelanggan menggunakan AWS KMS konsol atau CreateKey operasi.
1. Pembuatan kunci mengembalikan ARN yang dapat Anda gunakan untuk operasi yang memerlukan penggunaan kunci (misalnya, saat membuat proyek atau cetak biru di BDA), seperti operasi Async. invokeDataAutomation
1. Buat dan lampirkan kebijakan kunci ke kunci dengan izin yang diperlukan. Untuk membuat kebijakan utama, ikuti langkah-langkah di [Membuat kebijakan utama](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-create.html) di Panduan AWS KMS Pengembang.
## Izin dan kebijakan utama untuk sumber daya Otomasi Amazon Bedrock Data
Setelah Anda membuat AWS KMS kunci, Anda melampirkan kebijakan kunci untuk itu. AWS KMSTindakan berikut digunakan untuk kunci yang mengenkripsi sumber daya BDA:
1. kms:CreateGrant — Membuat hibah untuk kunci yang dikelola pelanggan dengan mengizinkan akses layanan BDA ke AWS KMS kunci yang ditentukan melalui operasi hibah, yang diperlukan untuk InvokeDataAutomationAsync.
1. kms:DescribeKey — Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan BDA memvalidasi kunci.
1. kms:GenerateDataKey — Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan BDA memvalidasi akses pengguna.
1. kms:Dekripsi — Mendekripsi ciphertext yang disimpan untuk memvalidasi bahwa peran memiliki akses yang tepat ke kunci yang mengenkripsi sumber daya BDA. AWS KMS
**Kebijakan utama untuk Otomasi Amazon Bedrock Data**
Untuk menggunakan kunci terkelola pelanggan Anda untuk mengenkripsi sumber daya BDA, sertakan pernyataan berikut dalam kebijakan dan ganti kunci Anda `${account-id}``${region}`, serta `${key-id}` dengan nilai spesifik Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy for a key to encrypt data for BDA resource",
"Statement": [
{
"Sid": "Permissions for encryption of data for BDA resources",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/Role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
**Izin peran IAM**
Peran IAM yang digunakan untuk berinteraksi dengan BDA dan AWS KMS harus memiliki izin berikut, ganti `${region}``${account-id}`, dan `${key-id}` dengan nilai spesifik Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Konteks enkripsi Otomasi Amazon Bedrock
BDA menggunakan konteks enkripsi yang sama di semua operasi AWS KMS kriptografi, di mana kuncinya `aws:bedrock:data-automation-customer-account-id` dan nilainya adalah ID AWS akun Anda. Contoh konteks enkripsi ada di bawah ini.
```
"encryptionContext": {
"bedrock:data-automation-customer-account-id": "account id"
}
```
**Menggunakan konteks enkripsi untuk pemantauan**
Bila Anda menggunakan kunci terkelola pelanggan simetris untuk mengenkripsi data Anda, Anda juga dapat menggunakan konteks enkripsi dalam catatan audit dan log untuk mengidentifikasi bagaimana kunci yang dikelola pelanggan digunakan. Konteks enkripsi juga muncul di log yang dihasilkan oleh AWS CloudTrail atau Amazon CloudWatch Logs.
**Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda**
Anda dapat menggunakan konteks enkripsi dalam kebijakan utama dan kebijakan IAM sebagai kondisi untuk mengontrol akses ke kunci terkelola pelanggan simetris Anda. Anda juga dapat menggunakan kendala konteks enkripsi dalam hibah. BDA menggunakan batasan konteks enkripsi dalam hibah untuk mengontrol akses ke kunci yang dikelola pelanggan di akun atau Wilayah Anda. Batasan hibah mengharuskan operasi yang diizinkan oleh hibah menggunakan konteks enkripsi yang ditentukan.
Berikut ini adalah contoh pernyataan kebijakan kunci untuk memberikan akses ke kunci yang dikelola pelanggan untuk konteks enkripsi tertentu. Kondisi dalam pernyataan kebijakan ini mengharuskan hibah memiliki batasan konteks enkripsi yang menentukan konteks enkripsi.
```
[
{
"Sid": "Enable DescribeKey, Decrypt, GenerateDataKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleRole"
},
"Action": ["kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:bedrock:data-automation-customer-account-id": "111122223333"
},
"StringEquals": {
"kms:GrantOperations": ["Decrypt", "DescribeKey", "GenerateDataKey"]
}
}
}
]
```
## Memantau kunci enkripsi Anda untuk Otomasi Amazon Bedrock Data
Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan dengan sumber daya Otomasi Amazon Bedrock Data, Anda dapat menggunakan [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)atau [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)melacak permintaan yang dikirimkan oleh Otomasi Amazon Bedrock DataAWS KMS. Berikut ini adalah contoh AWS CloudTrail peristiwa [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)untuk memantau AWS KMS operasi yang disebut oleh Otomasi Amazon Bedrock Data untuk membuat hibah utama:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForDataAutomation/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForDataAutomation",
"accountId": "111122223333",
"userName": "RoleForDataAutomation"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"constraints": {
"encryptionContextSubset": {
"aws:bedrock:data-automation-customer-account-id": "000000000000"
}
},
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Enkripsi sumber daya agen
Enkripsi data saat istirahat secara default membantu mengurangi overhead operasional dan kompleksitas yang terlibat dalam melindungi data sensitif. Pada saat yang sama, ini memungkinkan Anda untuk membangun aplikasi aman yang memenuhi kepatuhan enkripsi yang ketat dan persyaratan peraturan.
Amazon Bedrock menggunakan kunci yang AWS dimiliki default untuk mengenkripsi informasi agen secara otomatis. Ini termasuk data bidang kontrol dan data sesi. Anda tidak dapat melihat, mengelola, atau mengaudit penggunaan kunci yang AWS dimiliki. Untuk informasi selengkapnya, lihat [kunci AWS yang dimiliki](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk).
Meskipun Anda tidak dapat menonaktifkan lapisan enkripsi ini, Anda dapat memilih untuk menggunakan kunci yang dikelola pelanggan alih-alih kunci AWS milik untuk mengenkripsi informasi agen. Amazon Bedrock mendukung penggunaan kunci terkelola pelanggan simetris (CMK) yang dapat Anda buat, miliki, dan kelola alih-alih enkripsi yang dimiliki default AWS . Untuk informasi selengkapnya, lihat [Kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
**penting**
Amazon Bedrock secara otomatis mengenkripsi informasi sesi agen Anda menggunakan kunci yang AWS dimiliki tanpa biaya.
AWS Biaya KMS berlaku untuk menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, lihat [Harga Layanan Manajemen AWS Utama](https://aws.amazon.com/kms/pricing/).
Jika Anda telah membuat agen *sebelum* 22 Januari 2025 dan ingin menggunakan kunci yang dikelola pelanggan untuk mengenkripsi sumber daya agen, ikuti instruksi untuk. [Enkripsi sumber daya agen untuk agen yang dibuat sebelum 22 Januari 2025](encryption-agents.md)
# Enkripsi sumber daya agen dengan kunci yang dikelola pelanggan (CMK)
Anda dapat setiap saat membuat kunci yang dikelola pelanggan untuk mengenkripsi informasi agen Anda menggunakan informasi agen berikut yang diberikan saat membangun agen Anda.
**catatan**
Sumber daya agen berikut hanya akan dienkripsi untuk agen yang dibuat setelah 22 Januari 2025.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/bedrock/latest/userguide/cmk-agent-resources.html)
Untuk menggunakan kunci yang dikelola pelanggan, selesaikan langkah-langkah berikut:
1. Buat kunci yang dikelola pelanggan dengan AWS Key Management Service.
1. Buat kebijakan kunci dan lampirkan ke kunci yang dikelola pelanggan
## Buat kunci terkelola pelanggan
Anda dapat membuat kunci terkelola pelanggan simetris dengan menggunakan AWS Management Console, atau. AWS Key Management Service APIs
Pertama pastikan bahwa Anda memiliki `CreateKey` izin dan kemudian, ikuti langkah-langkah untuk [Membuat kunci terkelola pelanggan simetris di Panduan AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) *Pengembang*.
**Kebijakan utama** - kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat [Mengelola akses ke kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) di *Panduan AWS Key Management Service Pengembang*.
Jika Anda telah membuat agen Anda setelah 22 Januari 2025 dan ingin menggunakan kunci yang dikelola pelanggan untuk mengenkripsi informasi agen Anda, pastikan bahwa pengguna atau peran yang memanggil operasi API agen memiliki izin berikut dalam kebijakan utama:
+ [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — mengembalikan kunci data simetris yang unik untuk digunakan di luar KMS. AWS
+ [KMS: Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) — mendekripsi ciphertext yang dienkripsi oleh kunci KMS.
Pembuatan kunci mengembalikan kunci `Arn` yang dapat Anda gunakan sebagai`customerEncryptionKeyArn`, saat membuat agen Anda.
## Buat kebijakan kunci dan lampirkan ke kunci yang dikelola pelanggan
Jika Anda mengenkripsi sumber daya agen dengan kunci yang dikelola pelanggan, Anda harus menyiapkan kebijakan berbasis identitas dan kebijakan berbasis sumber daya agar Amazon Bedrock mengenkripsi dan mendekripsi sumber daya agen atas nama Anda.
**Kebijakan berbasis identitas**
Lampirkan kebijakan berbasis identitas berikut ke peran IAM atau pengguna dengan izin untuk melakukan panggilan ke agen APIs yang mengenkripsi dan mendekripsi sumber daya agen atas nama Anda. Kebijakan ini memvalidasi pengguna yang membuat panggilan API memiliki AWS KMS izin. Ganti`${region}`,`${account-id}`,`${agent-id}`, dan `${key-id}` dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptAgents",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
**Kebijakan berbasis sumber daya**
Lampirkan kebijakan berbasis sumber daya berikut ke AWS KMS kunci Anda *hanya* jika Anda membuat grup tindakan tempat skema di Amazon S3 dienkripsi. Anda tidak perlu melampirkan kebijakan berbasis sumber daya untuk kasus penggunaan lainnya.
Untuk melampirkan kebijakan berbasis sumber daya berikut, ubah cakupan izin seperlunya dan ganti`${region}`,, `${account-id}``${agent-id}`, dan `${key-id}` dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}"
},
{
"Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
## Mengubah kunci yang dikelola pelanggan
Agen Amazon Bedrock tidak mendukung enkripsi ulang agen berversi saat kunci yang dikelola pelanggan yang terkait dengan agen *DRAFT* diubah atau saat Anda berpindah dari kunci yang dikelola pelanggan ke kunci yang dimiliki. AWS Hanya data untuk sumber daya *DRAFT* yang akan dienkripsi ulang dengan kunci baru.
Pastikan Anda tidak menghapus atau menghapus izin untuk kunci apa pun untuk agen berversi jika menggunakannya untuk menyajikan data produksi.
Untuk melihat dan memverifikasi kunci yang digunakan oleh versi, panggil [GetAgentVersion](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_GetAgentVersion.html)dan periksa `customerEncryptionKeyArn` di respons.
# Enkripsi sesi agen dengan kunci terkelola pelanggan (CMK)
Jika Anda telah mengaktifkan memori untuk agen Anda dan jika Anda mengenkripsi sesi agen dengan kunci terkelola pelanggan, Anda harus mengonfigurasi kebijakan kunci berikut dan izin IAM identitas panggilan untuk mengonfigurasi kunci terkelola pelanggan Anda.
**Kebijakan kunci yang dikelola pelanggan**
Amazon Bedrock menggunakan izin ini untuk menghasilkan kunci data terenkripsi dan kemudian menggunakan kunci yang dihasilkan untuk mengenkripsi memori agen. Amazon Bedrock juga memerlukan izin untuk mengenkripsi ulang kunci data yang dihasilkan dengan konteks enkripsi yang berbeda. Izin enkripsi ulang juga digunakan ketika transisi kunci yang dikelola pelanggan antara kunci yang dikelola pelanggan lain atau kunci yang dimiliki layanan. Untuk informasi selengkapnya, lihat [Hierarchical Keyring](https://docs.aws.amazon.com//database-encryption-sdk/latest/devguide/use-hierarchical-keyring.html).
Ganti`$region`,`account-id`, dan `${caller-identity-role}` dengan nilai yang sesuai.
```
{
"Version": "2012-10-17",
{
"Sid": "Allow access for bedrock to enable long term memory",
"Effect": "Allow",
"Principal": {
"Service": [
"bedrock.amazonaws.com",
],
},
"Action": [
"kms:GenerateDataKeyWithoutPlainText",
"kms:ReEncrypt*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "$account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:bedrock:$region:$account-id:agent-alias/*"
}
}
"Resource": "*"
},
{
"Sid": "Allow the caller identity control plane permissions for long term memory",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}"
},
"Action": [
"kms:GenerateDataKeyWithoutPlainText",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*"
}
}
},
{
"Sid": "Allow the caller identity data plane permissions to decrypt long term memory",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*",
"kms:ViaService": "bedrock.$region.amazonaws.com"
}
}
}
}
```
**Izin IAM untuk mengenkripsi dan mendekripsi memori agen**
Izin IAM berikut diperlukan untuk API Agen pemanggil identitas untuk mengonfigurasi kunci KMS untuk agen dengan memori diaktifkan. Agen Amazon Bedrock menggunakan izin ini untuk memastikan bahwa identitas pemanggil diizinkan untuk memiliki izin yang disebutkan dalam kebijakan utama di atas APIs untuk mengelola, melatih, dan menerapkan model. Untuk agen pemanggil APIs itu, agen Amazon Bedrock menggunakan `kms:Decrypt` izin identitas pemanggil untuk mendekripsi memori.
Ganti`$region`,`account-id`, dan `${key-id}` dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AgentsControlPlaneLongTermMemory",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKeyWithoutPlaintext",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent-alias/*"
}
}
},
{
"Sid": "AgentsDataPlaneLongTermMemory",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent-alias/*"
}
}
}
]
}
```
------
# Praktik terbaik keamanan preventif untuk agen
Praktik terbaik berikut untuk layanan Amazon Bedrock dapat membantu mencegah insiden keamanan:
**Gunakan koneksi aman**
Selalu gunakan koneksi terenkripsi, seperti yang dimulai dengan `https://` untuk menjaga keamanan informasi sensitif saat transit.
**Menerapkan akses priviledge paling sedikit ke sumber daya**
Saat Anda membuat kebijakan khusus untuk sumber daya Amazon Bedrock, berikan hanya izin yang diperlukan untuk melakukan tugas. Disarankan untuk memulai dengan set izin minimum dan memberikan izin tambahan sesuai kebutuhan. Menerapkan akses hak istimewa paling sedikit sangat penting untuk mengurangi risiko dan dampak yang dapat dihasilkan dari kesalahan atau serangan berbahaya. Untuk informasi selengkapnya, lihat [Manajemen identitas dan akses untuk Amazon Bedrock](security-iam.md).
**Jangan sertakan PII dalam sumber daya agen mana pun yang berisi data pelanggan**
Saat membuat, memperbarui, dan menghapus sumber daya agen (misalnya, saat menggunakan [CreateAgent](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_CreateAgent.html)) tidak menyertakan informasi identitas pribadi (PII) di bidang apa pun yang tidak mendukung penggunaan kunci yang dikelola pelanggan seperti nama grup tindakan dan nama basis pengetahuan. Untuk daftar bidang yang mendukung penggunaan kunci terkelola pelanggan, lihat [Enkripsi sumber daya agen dengan kunci yang dikelola pelanggan (CMK)](cmk-agent-resources.md)
# Enkripsi sumber daya agen untuk agen yang dibuat sebelum 22 Januari 2025
**penting**
Jika Anda telah membuat agen Anda *setelah* 22 Januari 2025, ikuti instruksi untuk [Enkripsi sumber daya agen](encryption-agents-new.md)
Amazon Bedrock mengenkripsi informasi sesi agen Anda. Secara default, Amazon Bedrock mengenkripsi data ini menggunakan kunci terkelolaAWS. Secara opsional, Anda dapat mengenkripsi artefak agen menggunakan kunci yang dikelola pelanggan.
Untuk informasi selengkapnyaAWS KMS keys, lihat [Kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS Key Management Service Pengembang*.
Jika Anda mengenkripsi sesi dengan agen Anda dengan kunci KMS kustom, Anda harus menyiapkan kebijakan berbasis identitas dan kebijakan berbasis sumber daya berikut untuk memungkinkan Amazon Bedrock mengenkripsi dan mendekripsi sumber daya agen atas nama Anda.
1. Lampirkan kebijakan berbasis identitas berikut ke peran IAM atau pengguna dengan izin untuk melakukan panggilan. `InvokeAgent` Kebijakan ini memvalidasi pengguna yang melakukan `InvokeAgent` panggilan memiliki izin KMS. Ganti*\$1\$1region\$1*,*\$1\$1account-id\$1*,*\$1\$1agent-id\$1*, dan *\$1\$1key-id\$1* dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptDecryptAgents",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/agent-id"
}
}
}
]
}
```
------
1. Lampirkan kebijakan berbasis sumber daya berikut ke kunci KMS Anda. Ubah ruang lingkup izin seperlunya. Ganti*\$1\$1region\$1*,*\$1\$1account-id\$1*,*\$1\$1agent-id\$1*, dan *\$1\$1key-id\$1* dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRootModifyKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
},
{
"Sid": "AllowBedrockEncryptAgent",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/AgentId"
}
}
},
{
"Sid": "AllowRoleEncryptAgent",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/Role"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
},
{
"Sid": "AllowAttachmentPersistentResources",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
]
}
```
------
# Enkripsi sumber daya Amazon Bedrock Flows
Amazon Bedrock mengenkripsi data Anda saat istirahat. Secara default, Amazon Bedrock mengenkripsi data ini menggunakan kunci terkelolaAWS. Secara opsional, Anda dapat mengenkripsi data menggunakan kunci yang dikelola pelanggan.
Untuk informasi selengkapnyaAWS KMS keys, lihat [Kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS Key Management Service Pengembang*.
Jika Anda mengenkripsi data dengan kunci KMS kustom, Anda harus menyiapkan kebijakan berbasis identitas dan kebijakan berbasis sumber daya berikut untuk mengizinkan Amazon Bedrock mengenkripsi dan mendekripsi data atas nama Anda.
1. Lampirkan kebijakan berbasis identitas berikut ke peran IAM atau pengguna dengan izin untuk melakukan panggilan Amazon Bedrock Flows API. Kebijakan ini memvalidasi pengguna yang membuat panggilan Amazon Bedrock Flows memiliki izin KMS. Ganti*\$1\$1region\$1*,*\$1\$1account-id\$1*,*\$1\$1flow-id\$1*, dan *\$1\$1key-id\$1* dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptFlow",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/${flow-id}",
"kms:ViaService": "bedrock.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
1. Lampirkan kebijakan berbasis sumber daya berikut ke kunci KMS Anda. Ubah ruang lingkup izin seperlunya. Ganti*\$1IAM-USER/ROLE-ARN\$1*,*\$1\$1region\$1*,*\$1\$1account-id\$1*,*\$1\$1flow-id\$1*, dan *\$1\$1key-id\$1* dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRootModifyKMSId",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
},
{
"Sid": "AllowRoleUseKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/RoleName"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/FlowId",
"kms:ViaService": "bedrock.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
1. Untuk [eksekusi flow](flows-create-async.md), lampirkan kebijakan berbasis identitas berikut ke [peran layanan dengan izin untuk](flows-permissions.md) membuat dan mengelola alur. Kebijakan ini memvalidasi bahwa peran layanan Anda memiliki AWS KMS izin. Ganti*region*,*account-id*,*flow-id*, dan *key-id* dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptionFlows",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/flow-id",
"kms:ViaService": "bedrock.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
# Enkripsi sumber daya basis pengetahuan
Amazon Bedrock mengenkripsi sumber daya yang terkait dengan basis pengetahuan Anda. Secara default, Amazon Bedrock mengenkripsi data ini menggunakan kunci yang AWS dimiliki. Secara opsional, Anda dapat mengenkripsi artefak model menggunakan kunci yang dikelola pelanggan.
Enkripsi dengan kunci KMS dapat terjadi dengan proses berikut:
+ Penyimpanan data sementara saat menelan sumber data Anda
+ Meneruskan informasi ke OpenSearch Layanan jika Anda mengizinkan Amazon Bedrock mengatur basis data vektor Anda
+ Meminta basis pengetahuan
Sumber daya berikut yang digunakan oleh basis pengetahuan Anda dapat dienkripsi dengan kunci KMS. Jika Anda mengenkripsi mereka, Anda perlu menambahkan izin untuk mendekripsi kunci KMS.
+ Sumber data disimpan dalam bucket Amazon S3
+ Toko vektor pihak ketiga
Untuk informasi selengkapnya AWS KMS keys, lihat [Kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS Key Management Service Pengembang*.
**catatan**
Basis pengetahuan Amazon Bedrock menggunakan enkripsi TLS untuk komunikasi dengan konektor sumber data pihak ketiga dan penyimpanan vektor di mana penyedia mengizinkan dan mendukung enkripsi TLS dalam perjalanan.
**Topics**
+ [Enkripsi penyimpanan data sementara selama konsumsi data](#encryption-kb-ingestion)
+ [Enkripsi informasi yang diteruskan ke Amazon OpenSearch Service](#encryption-kb-oss)
+ [Enkripsi informasi diteruskan ke Vektor Amazon S3](#encryption-kb-s3-vector)
+ [Enkripsi pengambilan basis pengetahuan](#encryption-kb-runtime)
+ [Izin untuk mendekripsi AWS KMS kunci Anda untuk sumber data Anda di Amazon S3](#encryption-kb-ds)
+ [Izin untuk mendekripsi AWS Secrets Manager rahasia untuk penyimpanan vektor yang berisi basis pengetahuan Anda](#encryption-kb-3p)
+ [Izin untuk Otomasi Data Batuan Dasar (BDA) dengan enkripsi AWS KMS](#encryption-kb-bda)
## Enkripsi penyimpanan data sementara selama konsumsi data
Ketika Anda mengatur pekerjaan penyerapan data untuk basis pengetahuan Anda, Anda dapat mengenkripsi pekerjaan dengan kunci KMS kustom.
Untuk mengizinkan pembuatan AWS KMS kunci penyimpanan data sementara dalam proses pengambilan sumber data Anda, lampirkan kebijakan berikut ke peran layanan Amazon Bedrock Anda. Ganti nilai contoh dengan AWS Region, ID akun, dan ID AWS KMS kunci Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
## Enkripsi informasi yang diteruskan ke Amazon OpenSearch Service
Jika Anda memilih untuk mengizinkan Amazon Bedrock membuat penyimpanan vektor di OpenSearch Layanan Amazon untuk basis pengetahuan Anda, Amazon Bedrock dapat meneruskan kunci KMS yang Anda pilih ke OpenSearch Layanan Amazon untuk enkripsi. Untuk mempelajari lebih lanjut tentang enkripsi di OpenSearch Layanan Amazon, lihat [Enkripsi di OpenSearch Layanan Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html).
## Enkripsi informasi diteruskan ke Vektor Amazon S3
Jika Anda memilih untuk mengizinkan Amazon Bedrock membuat bucket vektor S3 dan indeks vektor di Vektor Amazon S3 untuk basis pengetahuan Anda, Amazon Bedrock dapat meneruskan kunci KMS yang Anda pilih ke Vektor Amazon S3 untuk enkripsi. Untuk mempelajari lebih lanjut tentang enkripsi di Vektor Amazon S3, lihat [Enkripsi dengan Vektor Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-vectors-bucket-encryption.html).
## Enkripsi pengambilan basis pengetahuan
Anda dapat mengenkripsi sesi di mana Anda menghasilkan respons dari kueri basis pengetahuan dengan kunci KMS. Untuk melakukannya, sertakan ARN kunci KMS di `kmsKeyArn` bidang saat membuat permintaan. [RetrieveAndGenerate](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) Lampirkan kebijakan berikut, ganti nilai contoh dengan AWS Wilayah, ID akun, dan ID AWS KMS kunci Anda sendiri untuk mengizinkan Amazon Bedrock mengenkripsi konteks sesi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
## Izin untuk mendekripsi AWS KMS kunci Anda untuk sumber data Anda di Amazon S3
Anda menyimpan sumber data untuk basis pengetahuan Anda di bucket Amazon S3 Anda. Untuk mengenkripsi dokumen-dokumen ini saat istirahat, Anda dapat menggunakan opsi enkripsi sisi server Amazon S3 SSE-S3. Dengan opsi ini, objek dienkripsi dengan kunci layanan yang dikelola oleh layanan Amazon S3.
*Untuk informasi selengkapnya, lihat [Melindungi data menggunakan enkripsi sisi server dengan kunci enkripsi terkelola Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.*
Jika Anda mengenkripsi sumber data di Amazon S3 dengan kunci AWS KMS khusus, lampirkan kebijakan berikut ke peran layanan Amazon Bedrock Anda untuk mengizinkan Amazon Bedrock mendekripsi kunci Anda. Ganti nilai contoh dengan AWS Region, ID akun, dan ID AWS KMS kunci Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"KMS:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Izin untuk mendekripsi AWS Secrets Manager rahasia untuk penyimpanan vektor yang berisi basis pengetahuan Anda
Jika penyimpanan vektor yang berisi basis pengetahuan Anda dikonfigurasi dengan AWS Secrets Manager rahasia, Anda dapat mengenkripsi rahasia dengan AWS KMS kunci khusus dengan mengikuti langkah-langkah di [enkripsi Rahasia dan dekripsi](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) di. AWS Secrets Manager
Jika Anda melakukannya, Anda melampirkan kebijakan berikut ke peran layanan Amazon Bedrock Anda untuk memungkinkannya mendekripsi kunci Anda. Ganti nilai contoh dengan AWS Region, ID akun, dan ID AWS KMS kunci Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
## Izin untuk Otomasi Data Batuan Dasar (BDA) dengan enkripsi AWS KMS
Saat menggunakan BDA untuk memproses konten multimodal dengan AWS KMS kunci yang dikelola pelanggan, izin tambahan diperlukan di luar izin standar. AWS KMS
Lampirkan kebijakan berikut ke peran layanan Amazon Bedrock Anda untuk memungkinkan BDA bekerja dengan file multimedia terenkripsi. Ganti nilai contoh dengan AWS Region, ID akun, dan ID AWS KMS kunci Anda sendiri.
```
{
"Sid": "KmsPermissionStatementForBDA",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "account-id",
"kms:ViaService": "bedrock.region.amazonaws.com"
}
}
}
```
Izin khusus BDA termasuk `kms:DescribeKey` dan `kms:CreateGrant` tindakan, yang diperlukan untuk BDA untuk memproses file audio, video, dan gambar terenkripsi.
# Lindungi data Anda menggunakan Amazon VPC dan AWS PrivateLink
Untuk mengontrol akses ke data Anda, kami sarankan Anda menggunakan virtual private cloud (VPC) dengan Amazon [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html). Menggunakan VPC melindungi data Anda dan memungkinkan Anda memantau semua lalu lintas jaringan masuk dan keluar dari wadah AWS pekerjaan dengan menggunakan [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) Flow Logs.
Anda dapat lebih melindungi data Anda dengan mengonfigurasi VPC Anda sehingga data Anda tidak tersedia melalui internet dan sebagai gantinya membuat titik akhir [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)antarmuka VPC untuk membuat koneksi pribadi ke data Anda.
Berikut ini mencantumkan beberapa fitur Amazon Bedrock di mana Anda dapat menggunakan VPC untuk melindungi data Anda:
+ Kustomisasi model - [(Opsional) Lindungi pekerjaan penyesuaian model Anda menggunakan VPC](custom-model-job-access-security.md#vpc-model-customization)
+ Inferensi Batch — [Lindungi pekerjaan inferensi batch menggunakan VPC](batch-vpc.md)
+ Basis Pengetahuan Amazon Bedrock - [Akses Amazon OpenSearch Tanpa Server menggunakan titik akhir antarmuka (](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html))AWS PrivateLink
## Menyiapkan VPC
[Anda dapat menggunakan [VPC default atau membuat VPC](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html) baru dengan mengikuti panduan di [Memulai Amazon VPC dan Buat VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html).](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)
Saat membuat VPC, sebaiknya gunakan setelan DNS default untuk tabel rute titik akhir, sehingga Amazon S3 standar URLs (misalnya,) diselesaikan. `http://s3-aws-region.amazonaws.com/training-bucket`
Topik berikut menunjukkan cara mengatur titik akhir VPC dengan bantuan AWS PrivateLink dan contoh kasus penggunaan untuk menggunakan VPC untuk melindungi akses ke file S3 Anda.
**Topics**
+ [Menyiapkan VPC](#create-vpc)
+ [Gunakan antarmuka VPC endpoint (AWS PrivateLink) untuk membuat koneksi pribadi antara VPC dan Amazon Bedrock](vpc-interface-endpoints.md)
+ [(Contoh) Batasi akses data ke data Amazon S3 Anda menggunakan VPC](vpc-s3.md)
# Gunakan antarmuka VPC endpoint (AWS PrivateLink) untuk membuat koneksi pribadi antara VPC dan Amazon Bedrock
Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara VPC Anda dan Amazon Bedrock. Anda dapat mengakses Amazon Bedrock seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses Amazon Bedrock.
Anda membuat koneksi pribadi ini dengan membuat *titik akhir antarmuka*, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk Amazon Bedrock.
Untuk informasi selengkapnya, lihat [Akses Layanan AWS melalui AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) di *AWS PrivateLink Panduan*.
## Pertimbangan untuk titik akhir Amazon Bedrock VPC
*Sebelum Anda menyiapkan titik akhir antarmuka untuk Amazon Bedrock, tinjau [Pertimbangan dalam Panduan.](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)AWS PrivateLink *
Amazon Bedrock mendukung melakukan panggilan API berikut melalui titik akhir VPC.
****
| Kategori | Sufiks titik akhir |
| --- | --- |
| [Tindakan API Pesawat Kontrol Batuan Dasar Amazon](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html) | bedrock |
| [Tindakan Amazon Bedrock Runtime API](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html) | bedrock-runtime |
| Tindakan Amazon Bedrock Mantle API | bedrock-mantle |
| [Tindakan API waktu pembuatan Amazon Bedrock Agents](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html) | bedrock-agent |
| [Tindakan API Runtime Agen Batuan Dasar Amazon](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock_Runtime.html) | bedrock-agent-runtime |
**Zona Ketersediaan**
Titik akhir Amazon Bedrock dan Amazon Bedrock Agents tersedia di beberapa Availability Zone.
## Buat titik akhir antarmuka untuk Amazon Bedrock
Anda dapat membuat titik akhir antarmuka untuk Amazon Bedrock menggunakan konsol VPC Amazon atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) di *AWS PrivateLink Panduan*.
Buat titik akhir antarmuka untuk Amazon Bedrock menggunakan salah satu nama layanan berikut:
+ `com.amazonaws.region.bedrock`
+ `com.amazonaws.region.bedrock-runtime`
+ `com.amazonaws.region.bedrock-mantle`
+ `com.amazonaws.region.bedrock-agent`
+ `com.amazonaws.region.bedrock-agent-runtime`
Setelah Anda membuat titik akhir, Anda memiliki opsi untuk mengaktifkan nama host DNS pribadi. Aktifkan pengaturan ini dengan memilih Aktifkan Nama DNS privat di konsol VPC saat Anda membuat VPC endpoint.
Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat membuat permintaan API ke Amazon Bedrock menggunakan nama DNS Regional defaultnya. Contoh berikut menunjukkan format nama DNS Regional default.
+ `bedrock.region.amazonaws.com`
+ `bedrock-runtime.region.amazonaws.com`
+ `bedrock-mantle.region.api.aws`
+ `bedrock-agent.region.amazonaws.com`
+ `bedrock-agent-runtime.region.amazonaws.com`
## Buat kebijakan titik akhir untuk titik akhir antarmuka Anda
Kebijakan endpoint adalah sumber daya IAM yang dapat Anda lampirkan ke titik akhir antarmuka. Kebijakan endpoint default memungkinkan akses penuh ke Amazon Bedrock melalui titik akhir antarmuka. Untuk mengontrol akses yang diizinkan ke Amazon Bedrock dari VPC Anda, lampirkan kebijakan titik akhir kustom ke titik akhir antarmuka.
kebijakan titik akhir mencantumkan informasi berikut:
+ Prinsipal yang dapat melakukan tindakan (Akun AWS, pengguna IAM, dan peran IAM).
+ Tindakan yang dapat dilakukan.
+ Sumber daya untuk melakukan tindakan.
Untuk informasi selengkapnya, lihat [Mengontrol akses ke layanan menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) di *Panduan AWS PrivateLink *.
**Contoh: Kebijakan titik akhir VPC untuk tindakan Amazon Bedrock**
Berikut ini adalah contoh kebijakan endpoint kustom. Saat Anda melampirkan kebijakan berbasis sumber daya ini ke titik akhir antarmuka Anda, kebijakan tersebut akan memberikan akses ke tindakan Amazon Bedrock yang terdaftar untuk semua prinsipal di semua sumber daya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource":"*"
}
]
}
```
------
**Contoh: Kebijakan titik akhir VPC untuk tindakan Amazon Bedrock Mantle**
Berikut ini adalah contoh kebijakan endpoint kustom. Saat Anda melampirkan kebijakan berbasis sumber daya ini ke titik akhir antarmuka Anda, kebijakan ini akan memberikan akses ke tindakan Amazon Bedrock Mantle yang terdaftar untuk semua prinsipal di semua sumber daya.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock-mantle:CreateInference"
],
"Resource":"*"
}
]
}
```
# (Contoh) Batasi akses data ke data Amazon S3 Anda menggunakan VPC
Anda dapat menggunakan VPC untuk membatasi akses ke data di bucket Amazon S3 Anda. Untuk keamanan lebih lanjut, Anda dapat mengonfigurasi VPC Anda tanpa akses internet dan membuat titik akhir untuknya. AWS PrivateLink Anda juga dapat membatasi akses dengan melampirkan kebijakan berbasis sumber daya ke titik akhir VPC atau ke bucket S3.
**Topics**
+ [Buat Endpoint VPC Amazon S3](#vpc-s3-create)
+ [(Opsional) Gunakan kebijakan IAM untuk membatasi akses ke file S3 Anda](#vpc-policy-rbp)
## Buat Endpoint VPC Amazon S3
Jika Anda mengonfigurasi VPC Anda tanpa akses internet, Anda perlu membuat titik akhir [VPC Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) untuk memungkinkan pekerjaan penyesuaian model Anda mengakses bucket S3 yang menyimpan data pelatihan dan validasi Anda dan yang akan menyimpan artefak model.
Buat titik akhir VPC S3 dengan mengikuti langkah-langkah [di Buat titik akhir gateway untuk](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3) Amazon S3.
**catatan**
Jika Anda tidak menggunakan pengaturan DNS default untuk VPC Anda, Anda perlu memastikan bahwa URLs lokasi data dalam pekerjaan pelatihan Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. Untuk informasi tentang tabel rute titik akhir VPC, lihat [Perutean](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) untuk titik akhir Gateway.
## (Opsional) Gunakan kebijakan IAM untuk membatasi akses ke file S3 Anda
Anda dapat menggunakan [kebijakan berbasis sumber daya untuk mengontrol akses ke file](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) S3 Anda dengan lebih ketat. Anda dapat menggunakan kombinasi apa pun dari jenis kebijakan berbasis sumber daya berikut.
+ **Kebijakan titik akhir** — Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC Anda untuk membatasi akses melalui titik akhir VPC. Kebijakan endpoint default memungkinkan akses penuh ke Amazon S3 untuk pengguna atau layanan apa pun di VPC Anda. Saat membuat atau setelah membuat titik akhir, Anda dapat melampirkan kebijakan berbasis sumber daya secara opsional ke titik akhir untuk menambahkan batasan, seperti hanya mengizinkan titik akhir mengakses bucket tertentu atau hanya mengizinkan peran IAM tertentu untuk mengakses titik akhir. Sebagai contoh, lihat [Mengedit kebijakan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3).
Berikut ini adalah contoh kebijakan yang dapat Anda lampirkan ke titik akhir VPC Anda untuk hanya mengizinkannya mengakses bucket yang Anda tentukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToTrainingBucket",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
]
}
]
}
```
------
+ **Kebijakan bucket** — Anda dapat melampirkan kebijakan bucket ke bucket S3 untuk membatasi akses ke bucket tersebut. Untuk membuat kebijakan bucket, ikuti langkah-langkah di [Menggunakan kebijakan bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html). Untuk membatasi akses ke lalu lintas yang berasal dari VPC Anda, Anda dapat menggunakan tombol kondisi untuk menentukan VPC itu sendiri, titik akhir VPC, atau alamat IP VPC. [Anda dapat menggunakan kunci kondisi [AWS:sourceVPC, AWS:sourceVPCE](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc)[, atau aws](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce):. VpcSourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip)
Berikut ini adalah contoh kebijakan yang dapat Anda lampirkan ke bucket S3 untuk menolak semua lalu lintas ke bucket kecuali berasal dari VPC Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToOutputBucket",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-11223344556677889"
}
}
}
]
}
```
------
Untuk contoh selengkapnya, lihat [Mengontrol akses menggunakan kebijakan bucket](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#bucket-policies-s3).
# Manajemen identitas dan akses untuk Amazon Bedrock
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diotorisasi* (memiliki izin) untuk menggunakan sumber daya Amazon Bedrock. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana Amazon Bedrock bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas untuk Amazon Bedrock](security_iam_id-based-policy-examples.md)
+ [Kebijakan Managing IAM tentang Proyek](security-iam-projects.md)
+ [AWS kebijakan terkelola untuk Amazon Bedrock](security-iam-awsmanpol.md)
+ [Peran layanan](security-iam-sr.md)
+ [Konfigurasikan akses ke bucket Amazon S3](s3-bucket-access.md)
+ [Memecahkan masalah identitas dan akses Amazon Bedrock](security_iam_troubleshoot.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah identitas dan akses Amazon Bedrock](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana Amazon Bedrock bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas untuk Amazon Bedrock](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Identitas terfederasi
Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensi sementara.
*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensil dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.
Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Bagaimana Amazon Bedrock bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon Bedrock, pelajari fitur IAM apa yang tersedia untuk digunakan dengan Amazon Bedrock.
**Fitur IAM yang dapat Anda gunakan dengan Amazon Bedrock**
| Fitur IAM | Dukungan Amazon Bedrock |
| --- | --- |
| [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies) | Ya |
| [Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies) | Tidak |
| [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions) | Ya |
| [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources) | Ya |
| [Kunci kondisi kebijakan](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ya |
| [ACLs](#security_iam_service-with-iam-acls) | Tidak |
| [ABAC (tanda dalam kebijakan)](#security_iam_service-with-iam-tags) | Ya |
| [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds) | Ya |
| [Izin principal](#security_iam_service-with-iam-principal-permissions) | Ya |
| [Peran layanan](#security_iam_service-with-iam-roles-service) | Ya |
| [Peran terkait layanan](#security_iam_service-with-iam-roles-service-linked) | Tidak |
*Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Amazon Bedrock dan AWS layanan lainnya dengan sebagian besar fitur IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Kebijakan berbasis identitas untuk Amazon Bedrock
**Mendukung kebijakan berbasis identitas**: Ya
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Contoh kebijakan berbasis identitas untuk Amazon Bedrock
Untuk melihat contoh kebijakan berbasis identitas Amazon Bedrock, lihat. [Contoh kebijakan berbasis identitas untuk Amazon Bedrock](security_iam_id-based-policy-examples.md)
## Kebijakan berbasis sumber daya dalam Amazon Bedrock
**Mendukung kebijakan berbasis sumber daya:** Tidak
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS
Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Tindakan kebijakan untuk Amazon Bedrock
**Mendukung tindakan kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Untuk melihat daftar tindakan Amazon Bedrock, lihat [Tindakan yang ditentukan oleh Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) di Referensi *Otorisasi Layanan*.
Tindakan kebijakan di Amazon Bedrock menggunakan awalan berikut sebelum tindakan:
```
bedrock
```
Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.
```
"Action": [
"bedrock:action1",
"bedrock:action2"
]
```
Untuk melihat contoh kebijakan berbasis identitas Amazon Bedrock, lihat. [Contoh kebijakan berbasis identitas untuk Amazon Bedrock](security_iam_id-based-policy-examples.md)
## Sumber daya kebijakan untuk Amazon Bedrock
**Mendukung sumber daya kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Untuk melihat daftar jenis sumber daya Amazon Bedrock dan jenisnya ARNs, lihat Sumber [daya yang ditentukan oleh Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) di Referensi *Otorisasi Layanan*. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat [Tindakan yang ditentukan oleh Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions).
Beberapa tindakan Amazon Bedrock API mendukung beberapa sumber daya. Misalnya, [AssociateAgentKnowledgeBase](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_AssociateAgentKnowledgeBase.html)mengakses *AGENT12345* dan*KB12345678*, jadi prinsipal harus memiliki izin untuk mengakses kedua sumber daya. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma.
```
"Resource": [
"arn:aws:bedrock:aws-region:111122223333:agent/AGENT12345",
"arn:aws:bedrock:aws-region:111122223333:knowledge-base/KB12345678"
]
```
Untuk melihat contoh kebijakan berbasis identitas Amazon Bedrock, lihat. [Contoh kebijakan berbasis identitas untuk Amazon Bedrock](security_iam_id-based-policy-examples.md)
## Kunci kondisi kebijakan untuk Amazon Bedrock
**Mendukung kunci kondisi kebijakan khusus layanan:** Yes
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Untuk melihat daftar kunci kondisi Amazon Bedrock, lihat Kunci Kondisi [untuk Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) di Referensi *Otorisasi Layanan*. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions).
Semua tindakan Amazon Bedrock mendukung kunci kondisi menggunakan model Amazon Bedrock sebagai sumber daya.
Untuk melihat contoh kebijakan berbasis identitas Amazon Bedrock, lihat. [Contoh kebijakan berbasis identitas untuk Amazon Bedrock](security_iam_id-based-policy-examples.md)
## ACLs di Amazon Bedrock
**Mendukung ACLs:** Tidak
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
## ABAC dengan Amazon Bedrock
**Mendukung ABAC (tanda dalam kebijakan):** Ya
Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.
Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.
Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.
Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.
## Menggunakan kredensi sementara dengan Amazon Bedrock
**Mendukung kredensial sementara:** Ya
Kredensi sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensi sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.
## Izin utama lintas layanan untuk Amazon Bedrock
**Mendukung sesi akses terusan (FAS):** Ya
Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Peran layanan untuk Amazon Bedrock
**Mendukung peran layanan:** Ya
Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*.
**Awas**
Mengubah izin untuk peran layanan dapat merusak fungsionalitas Amazon Bedrock. Edit peran layanan hanya jika Amazon Bedrock memberikan panduan untuk melakukannya.
## Peran terkait layanan untuk Amazon Bedrock
**Mendukung peran terkait layanan:** Tidak
Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.
# Contoh kebijakan berbasis identitas untuk Amazon Bedrock
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya Amazon Bedrock. Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.
*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*
Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh Amazon Bedrock, termasuk format ARNs untuk setiap jenis sumber daya, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html) di Referensi *Otorisasi Layanan*.
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Gunakan konsol Amazon Bedrock](#security_iam_id-based-policy-examples-console)
+ [Mengizinkan pengguna melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Tolak akses untuk inferensi model pondasi](#security_iam_id-based-policy-examples-deny-inference)
+ [Izinkan pengguna untuk memanggil model yang disediakan](#security_iam_id-based-policy-examples-perform-actions-pt)
+ [Contoh kebijakan berbasis identitas untuk Agen Amazon Bedrock](security_iam_id-based-policy-examples-agent.md)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Amazon Bedrock di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Gunakan konsol Amazon Bedrock
Untuk mengakses konsol Amazon Bedrock, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya Amazon Bedrock di Anda. Akun AWS Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang coba mereka lakukan.
Untuk memastikan bahwa pengguna dan peran masih dapat menggunakan konsol Amazon Bedrock, lampirkan juga Amazon Bedrock [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)atau kebijakan [AmazonBedrockReadOnly](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockReadOnly) AWS terkelola ke entitas. Untuk informasi selengkapnya, lihat [Menambah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
## Mengizinkan pengguna melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Tolak akses untuk inferensi model pondasi
Untuk mencegah pengguna menjalankan model foundation, Anda harus menolak akses ke tindakan API yang memanggil model secara langsung. Contoh berikut menunjukkan kebijakan berbasis identitas yang menolak akses ke inferensi berjalan pada model tertentu. Kebijakan ini dapat digunakan sebagai kebijakan kontrol layanan (SCP) untuk mengontrol akses model di seluruh organisasi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "DenyInference",
"Effect": "Deny",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob"
],
"Resource": "arn:aws:bedrock:*::foundation-model/model-id"
}
}
```
------
Untuk menolak akses inferensi ke semua model pondasi, gunakan `*` untuk ID model. Tindakan lain, seperti `Converse` dan`StartAsyncInvoke`, diblokir secara otomatis ketika `InvokeModel` ditolak. Untuk daftar model IDs, lihat [Model pondasi yang didukung di Amazon Bedrock](models-supported.md)
## Izinkan pengguna untuk memanggil model yang disediakan
Berikut ini adalah contoh kebijakan yang dapat Anda lampirkan ke peran IAM untuk memungkinkannya menggunakan model yang disediakan dalam inferensi model. Misalnya, Anda dapat melampirkan kebijakan ini ke peran yang hanya ingin memiliki izin untuk menggunakan model yang disediakan. Peran tidak akan dapat mengelola atau melihat informasi tentang Throughput yang Disediakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisionedThroughputModelInvocation",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": "arn:aws:bedrock:us-east-1:123456789012:provisioned-model/my-provisioned-model"
}
]
}
```
------
# Contoh kebijakan berbasis identitas untuk Agen Amazon Bedrock
Pilih topik untuk melihat contoh kebijakan IAM yang dapat Anda lampirkan ke peran IAM untuk memberikan izin untuk tindakan. [Otomatiskan tugas dalam aplikasi Anda menggunakan agen AI](agents.md)
**Topics**
+ [Izin yang diperlukan untuk Agen Bedrock Amazon](#iam-agents-ex-all)
+ [Memungkinkan pengguna untuk melihat informasi tentang dan memanggil agen](#security_iam_id-based-policy-examples-perform-actions-agent)
+ [Kontrol akses ke tingkatan layanan](#security_iam_id-based-policy-examples-service-tiers)
## Izin yang diperlukan untuk Agen Bedrock Amazon
Agar identitas IAM dapat menggunakan Agen Bedrock Amazon, Anda harus mengonfigurasinya dengan izin yang diperlukan. Anda dapat melampirkan [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)kebijakan untuk memberikan izin yang tepat untuk peran tersebut.
Untuk membatasi izin hanya tindakan yang digunakan di Agen Amazon Bedrock, lampirkan kebijakan berbasis identitas berikut ke peran IAM:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AgentPermissions",
"Effect": "Allow",
"Action": [
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModel",
"bedrock:TagResource",
"bedrock:UntagResource",
"bedrock:ListTagsForResource",
"bedrock:CreateAgent",
"bedrock:UpdateAgent",
"bedrock:GetAgent",
"bedrock:ListAgents",
"bedrock:DeleteAgent",
"bedrock:CreateAgentActionGroup",
"bedrock:UpdateAgentActionGroup",
"bedrock:GetAgentActionGroup",
"bedrock:ListAgentActionGroups",
"bedrock:DeleteAgentActionGroup",
"bedrock:GetAgentVersion",
"bedrock:ListAgentVersions",
"bedrock:DeleteAgentVersion",
"bedrock:CreateAgentAlias",
"bedrock:UpdateAgentAlias",
"bedrock:GetAgentAlias",
"bedrock:ListAgentAliases",
"bedrock:DeleteAgentAlias",
"bedrock:AssociateAgentKnowledgeBase",
"bedrock:DisassociateAgentKnowledgeBase",
"bedrock:ListAgentKnowledgeBases",
"bedrock:GetKnowledgeBase",
"bedrock:ListKnowledgeBases",
"bedrock:PrepareAgent",
"bedrock:InvokeAgent",
"bedrock:AssociateAgentCollaborator",
"bedrock:DisassociateAgentCollaborator",
"bedrock:GetAgentCollaborator",
"bedrock:ListAgentCollaborators",
"bedrock:UpdateAgentCollaborator"
],
"Resource": "*"
}
]
}
```
------
[Anda dapat membatasi izin lebih lanjut dengan menghilangkan [tindakan](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions) atau menentukan [sumber daya](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources) dan kunci kondisi.](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys) Identitas IAM dapat memanggil operasi API pada sumber daya tertentu. Misalnya, [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_UpdateAgent.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_UpdateAgent.html)operasi hanya dapat digunakan pada sumber daya agen dan [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeAgent.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeAgent.html)operasi hanya dapat digunakan pada sumber daya alias. Untuk operasi API yang tidak digunakan pada jenis sumber daya tertentu (seperti [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateAgent.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateAgent.html)), tentukan \$1 sebagai`Resource`. Jika Anda menentukan operasi API yang tidak dapat digunakan pada sumber daya yang ditentukan dalam kebijakan, Amazon Bedrock akan menampilkan kesalahan.
## Memungkinkan pengguna untuk melihat informasi tentang dan memanggil agen
Berikut ini adalah contoh kebijakan yang dapat Anda lampirkan ke peran IAM untuk memungkinkannya melihat informasi tentang atau mengedit agen dengan ID *AGENT12345* dan berinteraksi dengan aliasnya dengan ID. *ALIAS12345* Misalnya, Anda dapat melampirkan kebijakan ini ke peran yang hanya ingin memiliki izin untuk memecahkan masalah agen dan memperbaruinya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GetAndUpdateAgent",
"Effect": "Allow",
"Action": [
"bedrock:GetAgent",
"bedrock:UpdateAgent"
],
"Resource": "arn:aws:bedrock:us-east-1:123456789012:agent/AgentId"
},
{
"Sid": "InvokeAgent",
"Effect": "Allow",
"Action": [
"bedrock:InvokeAgent"
],
"Resource": "arn:aws:bedrock:us-east-1:123456789012:agent-alias/AgentId/AgentAliasId"
}
]
}
```
------
## Kontrol akses ke tingkatan layanan
Tingkat layanan Amazon Bedrock menyediakan berbagai tingkat prioritas pemrosesan dan harga untuk permintaan inferensi. Secara default, semua tingkatan layanan (prioritas, default, dan fleksibel) tersedia untuk pengguna dengan izin Bedrock yang tepat, mengikuti pendekatan allowlist di mana akses diberikan kecuali secara eksplisit dibatasi.
Namun, organisasi mungkin ingin mengontrol tingkatan layanan mana yang dapat diakses pengguna mereka untuk mengelola biaya atau menegakkan kebijakan penggunaan. Anda dapat menerapkan pembatasan akses dengan menggunakan kebijakan IAM dengan kunci `bedrock:ServiceTier` kondisi untuk menolak akses ke tingkatan layanan tertentu. Pendekatan ini memungkinkan Anda untuk mempertahankan kontrol terperinci atas anggota tim mana yang dapat menggunakan tingkatan layanan premium seperti “prioritas” atau tingkatan yang dioptimalkan biaya seperti “fleksibel”.
Contoh berikut menunjukkan kebijakan berbasis identitas yang menolak akses ke semua tingkatan layanan. Jenis kebijakan ini berguna ketika Anda ingin mencegah pengguna menentukan tingkat layanan apa pun, memaksa mereka untuk menggunakan perilaku default sistem:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "bedrock:InvokeModel",
"Resource": "*",
"Condition": {
"StringEquals": {
"bedrock:ServiceTier": ["reserved", "priority", "default", "flex"]
}
}
}
]
}
```
Anda dapat menyesuaikan kebijakan ini untuk menolak akses hanya ke tingkatan layanan tertentu dengan mengubah nilai `bedrock:ServiceTier` kondisi. Misalnya, untuk menolak hanya tingkat “prioritas” premium sambil mengizinkan “default” dan “flex”, Anda hanya akan menentukan `["priority"]` dalam kondisi. Pendekatan fleksibel ini memungkinkan Anda menerapkan kebijakan penggunaan yang selaras dengan manajemen biaya dan persyaratan operasional organisasi Anda. Untuk informasi selengkapnya tentang tingkatan layanan, lihat[Tingkat layanan untuk mengoptimalkan kinerja dan biaya](service-tiers-inference.md).
# Kebijakan Managing IAM tentang Proyek
Amazon Bedrock Projects mendukung lampiran kebijakan IAM langsung, memungkinkan Anda mengelola kontrol akses di tingkat sumber daya proyek. Ini memberikan alternatif untuk mengelola kebijakan pada pengguna dan peran IAM.
## Memahami Kebijakan IAM Tingkat Proyek
Kebijakan IAM tingkat proyek memungkinkan Anda untuk:
+ **Memusatkan kontrol akses**: Tentukan izin langsung pada sumber daya proyek
+ **Sederhanakan manajemen**: Perbarui akses tanpa memodifikasi kebijakan individual user/role
+ **Audit dengan mudah**: Lihat semua izin untuk proyek di satu tempat
+ **Administrasi delegasi**: Izinkan pemilik proyek mengelola akses ke proyek mereka
## Melampirkan Kebijakan IAM ke Proyek
### Lampirkan Kebijakan untuk Memberikan Akses
Lampirkan kebijakan IAM langsung ke proyek untuk memberikan izin:
```
import boto3
import json
iam = boto3.client('iam', region_name='us-east-1')
project_arn = "arn:aws:bedrock-mantle:us-east-1:123456789012:project/proj_abc123"
# Define the identity-based policy document
policy_document = {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowTeamAlphaAccess",
"Effect": "Allow",
"Action": [
"bedrock-mantle:ListTagsForResources",
"bedrock-mantle:GetProject"
],
"Resource": project_arn
}
]
}
policy_json = json.dumps(policy_document)
# Create a managed policy
create_response = iam.create_policy(
PolicyName="TeamAlphaAccessPolicy",
PolicyDocument=policy_json,
Description="Grants Team Alpha read access to the Bedrock project"
)
policy_arn = create_response['Policy']['Arn']
print(f"Policy created: {policy_arn}")
# Attach the policy to alice (IAM user)
iam.attach_user_policy(
UserName="alice",
PolicyArn=policy_arn
)
print("Policy attached to alice")
# Attach the policy to bob (IAM user)
iam.attach_user_policy(
UserName="bob",
PolicyArn=policy_arn
)
print("Policy attached to bob")
# Attach the policy to TeamAlphaRole (IAM role)
iam.attach_role_policy(
RoleName="TeamAlphaRole",
PolicyArn=policy_arn
)
print("Policy attached to TeamAlphaRole")
```
### Berikan Akses Proyek Penuh ke Tim
Izinkan tim akses penuh untuk mengelola dan menggunakan proyek:
```
import boto3
import json
iam = boto3.client('iam', region_name='us-east-1')
project_arn = "arn:aws:bedrock-mantle:us-east-1:123456789012:project/proj_abc123"
# Identity-based policy — no Principal block needed
policy_document = {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "FullProjectAccess",
"Effect": "Allow",
"Action": "bedrock-mantle:*",
"Resource": project_arn
}
]
}
# Create a managed policy
create_response = iam.create_policy(
PolicyName="DataScienceFullAccess",
PolicyDocument=json.dumps(policy_document),
Description="Grants DataScienceTeamRole full access to the Bedrock project"
)
policy_arn = create_response['Policy']['Arn']
print(f"Policy created: {policy_arn}")
# Attach to the DataScienceTeamRole
iam.attach_role_policy(
RoleName="DataScienceTeamRole",
PolicyArn=policy_arn
)
print("Full access policy attached to DataScienceTeamRole")
```
### Berikan Akses Hanya Baca
Lampirkan kebijakan yang memungkinkan melihat detail proyek dan hanya membuat permintaan inferensi:
```
import boto3
import json
iam = boto3.client('iam', region_name='us-east-1')
project_arn = "arn:aws:bedrock-mantle:us-east-1:123456789012:project/proj_abc123"
# Identity-based policy — no Principal block needed
policy_document = {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadOnlyAccess",
"Effect": "Allow",
"Action": [
"bedrock-mantle:CreateInference",
"bedrock-mantle:GetProject",
"bedrock-mantle:ListProjects",
"bedrock-mantle:ListTagsForResources"
],
"Resource": project_arn
}
]
}
# Create a managed policy
create_response = iam.create_policy(
PolicyName="ReadOnlyAccessPolicy",
PolicyDocument=json.dumps(policy_document),
Description="Grants viewer1 and viewer2 read-only access to the Bedrock project"
)
policy_arn = create_response['Policy']['Arn']
print(f"Policy created: {policy_arn}")
# Attach to viewer1
iam.attach_user_policy(
UserName="viewer1",
PolicyArn=policy_arn
)
print("Policy attached to viewer1")
# Attach to viewer2
iam.attach_user_policy(
UserName="viewer2",
PolicyArn=policy_arn
)
print("Policy attached to viewer2")
```
# AWS kebijakan terkelola untuk Amazon Bedrock
Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk [membuat kebijakan yang dikelola pelanggan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di Akun AWS Anda.
Untuk daftar kebijakan AWS terkelola, lihat [kebijakan AWS terkelola](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/policy-list.html) dalam referensi kebijakan AWS terkelola. Untuk informasi selengkapnya tentang kebijakan AWS [AWS terkelola, lihat kebijakan terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna IAM*.
AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat ada fitur baru yang diluncurkan atau saat ada operasi baru yang tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan **ReadOnlyAccess** AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat [kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di *Panduan Pengguna IAM*.
**Topics**
+ [AWS kebijakan terkelola: AmazonBedrockFullAccess](#security-iam-awsmanpol-AmazonBedrockFullAccess)
+ [AWS kebijakan terkelola: AmazonBedrockReadOnly](#security-iam-awsmanpol-AmazonBedrockReadOnly)
+ [AWS kebijakan terkelola: AmazonBedrockLimitedAccess](#security-iam-awsmanpol-AmazonBedrockLimitedAccess)
+ [AWS kebijakan terkelola: AmazonBedrockMarketplaceAccess](#security-iam-awsmanpol-AmazonBedrockMarketplaceAccess)
+ [AWS kebijakan terkelola: AmazonBedrockMantleFullAccess](#security-iam-awsmanpol-AmazonBedrockMantleFullAccess)
+ [AWS kebijakan terkelola: AmazonBedrockMantleReadOnly](#security-iam-awsmanpol-AmazonBedrockMantleReadOnly)
+ [AWS kebijakan terkelola: AmazonBedrockMantleInferenceAccess](#security-iam-awsmanpol-AmazonBedrockMantleInferenceAccess)
+ [Amazon Bedrock memperbarui kebijakan AWS terkelola](#security-iam-awsmanpol-updates)
## AWS kebijakan terkelola: AmazonBedrockFullAccess
Anda dapat melampirkan [AmazonBedrockFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockFullAccess.html)kebijakan ke identitas IAM Anda untuk memberikan izin administratif yang memungkinkan izin pengguna untuk membuat, membaca, memperbarui, dan menghapus sumber daya Amazon Bedrock.
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `ec2`(Amazon Elastic Compute Cloud) — Memungkinkan izin untuk mendeskripsikan VPCs, subnet, dan grup keamanan.
+ `iam`(AWS Identity and Access Management) - Memungkinkan prinsipal untuk lulus peran, tetapi hanya mengizinkan peran IAM dengan “Amazon Bedrock” di dalamnya untuk diteruskan ke layanan Amazon Bedrock. Izin dibatasi `bedrock.amazonaws.com` untuk operasi Amazon Bedrock.
+ `kms`(Layanan Manajemen AWS Kunci) - Memungkinkan kepala sekolah untuk mendeskripsikan AWS KMS kunci dan alias.
+ `bedrock`(Amazon Bedrock) - Memungkinkan kepala sekolah membaca dan menulis akses ke semua tindakan di bidang kontrol Amazon Bedrock dan layanan runtime.
+ `sagemaker`(Amazon SageMaker AI) - Memungkinkan prinsipal untuk mengakses sumber daya SageMaker AI Amazon di akun pelanggan, yang berfungsi sebagai dasar untuk fitur Amazon Bedrock Marketplace.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BedrockAll",
"Effect": "Allow",
"Action": [
"bedrock:*"
],
"Resource": "*"
},
{
"Sid": "DescribeKey",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "arn:*:kms:*:::*"
},
{
"Sid": "APIsWithAllResourceAccess",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "MarketplaceModelEndpointMutatingAPIs",
"Effect": "Allow",
"Action": [
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateModel",
"sagemaker:DeleteEndpoint",
"sagemaker:UpdateEndpoint"
],
"Resource": [
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:model/*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "bedrock.amazonaws.com",
"aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
}
}
},
{
"Sid": "MarketplaceModelEndpointAddTagsOperations",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:model/*"
],
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"sagemaker-sdk:bedrock",
"bedrock:marketplace-registration-status",
"sagemaker-studio:hub-content-arn"
]
},
"StringLike": {
"aws:RequestTag/sagemaker-sdk:bedrock": "compatible",
"aws:RequestTag/bedrock:marketplace-registration-status": "registered",
"aws:RequestTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
}
}
},
{
"Sid": "MarketplaceModelEndpointDeleteTagsOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:model/*"
],
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"sagemaker-sdk:bedrock",
"bedrock:marketplace-registration-status",
"sagemaker-studio:hub-content-arn"
]
},
"StringLike": {
"aws:ResourceTag/sagemaker-sdk:bedrock": "compatible",
"aws:ResourceTag/bedrock:marketplace-registration-status": "registered",
"aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*"
}
}
},
{
"Sid": "MarketplaceModelEndpointNonMutatingAPIs",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:DescribeInferenceComponent",
"sagemaker:ListEndpoints",
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:model/*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "bedrock.amazonaws.com"
}
}
},
{
"Sid": "MarketplaceModelEndpointInvokingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointWithResponseStream"
],
"Resource": [
"arn:aws:sagemaker:*:*:endpoint/*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "bedrock.amazonaws.com",
"aws:ResourceTag/sagemaker-sdk:bedrock": "compatible"
}
}
},
{
"Sid": "DiscoveringMarketplaceModel",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeHubContent"
],
"Resource": [
"arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*",
"arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
]
},
{
"Sid": "AllowMarketplaceModelsListing",
"Effect": "Allow",
"Action": [
"sagemaker:ListHubContents"
],
"Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub"
},
{
"Sid": "PassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/*SageMaker*ForBedrock*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"bedrock.amazonaws.com"
]
}
}
},
{
"Sid": "PassRoleToBedrock",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonBedrock*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"bedrock.amazonaws.com"
]
}
}
},
{
"Sid": "MarketplaceOperationsFromBedrockFor3pModels",
"Effect": "Allow",
"Action": [
"aws-marketplace:Subscribe",
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Unsubscribe"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "bedrock.amazonaws.com"
}
}
}
]
}
```
------
## AWS kebijakan terkelola: AmazonBedrockReadOnly
Anda dapat melampirkan [AmazonBedrockReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockReadOnly.html)kebijakan ke identitas IAM Anda untuk memberikan izin hanya-baca untuk melihat semua sumber daya di Amazon Bedrock.
## AWS kebijakan terkelola: AmazonBedrockLimitedAccess
Anda dapat melampirkan [AmazonBedrockLimitedAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockLimitedAccess.html)kebijakan ke identitas IAM Anda untuk mengizinkannya mengakses layanan Amazon Bedrock, manajemen AWS KMS kunci, sumber daya jaringan, dan langganan AWS Marketplace untuk model yayasan pihak ketiga. Kebijakan tersebut mencakup pernyataan berikut:
+ `BedrockAPIs`Pernyataan ini memungkinkan Anda untuk melakukan beberapa operasi di Amazon Bedrock termasuk:
+ Melewati kunci Amazon Bedrock API saat membuat permintaan API ke layanan Amazon Bedrock.
+ Menjelaskan informasi tentang sumber daya.
+ Membuat sumber daya (pagar pembatas, model, pekerjaan).
+ Membuat dan menyempurnakan kebijakan Penalaran Otomatis (membuat, membangun, menyempurnakan, dan menguji kebijakan).
+ Menghapus sumber daya.
+ Memanggil model pada semua sumber daya.
+ `DescribeKey`Pernyataan ini memungkinkan Anda untuk melihat informasi tentang kunci KMS di semua wilayah dan akun, selama kebijakan pada kunci mengizinkan Anda melakukannya.
+ `APIsWithAllResourceAccess`Pernyataan ini memungkinkan Anda untuk:
+ Daftar peran IAM.
+ Jelaskan sumber daya Amazon VPC (VPCs, subnet, dan grup keamanan) di semua sumber daya.
+ `MarketplaceOperationsFromBedrockFor3pModels`Pernyataan ini memungkinkan Anda untuk:
+ Berlangganan AWS Marketplace penawaran.
+ Lihat langganan.
+ Berhenti berlangganan dari AWS Marketplace penawaran.
**catatan**
Kunci kondisi `aws:CalledViaLast` membatasi tindakan ini hanya ketika mereka dipanggil melalui layanan Amazon Bedrock.
## AWS kebijakan terkelola: AmazonBedrockMarketplaceAccess
Anda dapat melampirkan [AmazonBedrockMarketplaceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockMarketplaceAccess.html)kebijakan ke identitas IAM Anda untuk memungkinkannya mengelola dan menggunakan titik akhir model pasar Amazon Bedrock dengan integrasi AI. SageMaker Kebijakan tersebut mencakup pernyataan berikut:
+ `BedrockMarketplaceAPIs`Pernyataan ini memungkinkan Anda membuat, menghapus, mendaftar, membatalkan pendaftaran, dan memperbarui titik akhir model pasar di Amazon Bedrock di semua sumber daya.
+ `MarketplaceModelEndpointMutatingAPIs`Pernyataan ini memungkinkan Anda membuat dan mengelola titik akhir SageMaker AI, konfigurasi titik akhir, dan model pada sumber daya yang ditentukan.
+ Gunakan tombol `aws:CalledViaLast` kondisi untuk memastikan bahwa tindakan ini hanya dilakukan ketika dipanggil melalui Bedrock.
+ Gunakan tombol `aws:ResourceTag/sagemaker-sdk:bedrock` kondisi untuk memastikan bahwa tindakan ini hanya dilakukan pada sumber daya yang ditandai sebagai kompatibel dengan Amazon Bedrock.
+ `MarketplaceModelEndpointAddTagsOperations`Pernyataan ini memungkinkan penambahan tag tertentu ke titik akhir SageMaker AI, konfigurasi titik akhir, dan model pada sumber daya yang ditentukan.
+ Gunakan tombol `aws:TagKeys` kondisi untuk membatasi tag mana yang dapat ditambahkan
+ Gunakan tombol `aws:RequestTag/*` kondisi untuk memastikan nilai tag cocok dengan pola yang ditentukan
+ `MarketplaceModelEndpointDeleteTagsOperations`Pernyataan ini memungkinkan penghapusan tag tertentu dari titik akhir SageMaker AI, konfigurasi titik akhir, dan model pada sumber daya yang ditentukan.
+ Gunakan tombol `aws:TagKeys` kondisi untuk membatasi tag mana yang dapat dihapus
+ Gunakan tombol `aws:ResourceTag/*` kondisi untuk memastikan tag yang dihapus cocok dengan pola yang ditentukan
+ `MarketplaceModelEndpointNonMutatingAPIs`Pernyataan ini memungkinkan melihat dan mendeskripsikan titik akhir SageMaker AI, konfigurasi titik akhir, dan model pada sumber daya yang ditentukan.
+ Gunakan tombol `aws:CalledViaLast` kondisi untuk memastikan tindakan hanya dilakukan melalui layanan Amazon Bedrock
+ `MarketplaceModelEndpointInvokingOperations`Pernyataan tersebut memungkinkan pemanggilan titik akhir SageMaker AI pada sumber daya yang ditentukan.
+ Gunakan tombol `aws:CalledViaLast` kondisi untuk memastikan tindakan hanya dilakukan melalui layanan Amazon Bedrock
+ Gunakan tombol `aws:ResourceTag/sagemaker-sdk:bedrock` kondisi untuk memastikan tindakan hanya dilakukan pada sumber daya yang kompatibel dengan BedROCK
+ `DiscoveringMarketplaceModel`Pernyataan tersebut memungkinkan decribing konten hub SageMaker AI pada sumber daya tertentu.
+ `AllowMarketplaceModelsListing`Pernyataan tersebut memungkinkan daftar konten hub SageMaker AI pada sumber daya yang ditentukan.
+ `PassRoleToSageMaker`Pernyataan tersebut memungkinkan meneruskan peran IAM ke SageMaker AI dan Amazon Bedrock pada sumber daya yang ditentukan.
+ Gunakan kunci `iam:PassedToService` kondisi untuk memastikan peran hanya diteruskan ke layanan tertentu.
+ `PassRoleToBedrock`Pernyataan ini memungkinkan Anda untuk meneruskan peran IAM tertentu ke Amazon Bedrock pada sumber daya yang ditentukan.
+ Gunakan tombol `iam:PassedToService` kondisi untuk memastikan peran hanya diteruskan ke layanan Amazon Bedrock.
## AWS kebijakan terkelola: AmazonBedrockMantleFullAccess
Anda dapat melampirkan [AmazonBedrockMantleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockMantleFullAccess.html)kebijakan ke identitas IAM Anda untuk memberikan akses penuh ke semua operasi Amazon Bedrock Mantle.
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `bedrock-mantle`(Amazon Bedrock Mantle) - Memungkinkan kepala sekolah akses penuh ke semua tindakan di layanan Amazon Bedrock Mantle.
## AWS kebijakan terkelola: AmazonBedrockMantleReadOnly
Anda dapat melampirkan [AmazonBedrockMantleReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockMantleReadOnly.html)kebijakan ke identitas IAM Anda untuk memberikan izin hanya-baca untuk melihat sumber daya Amazon Bedrock Mantle dan menelepon dengan token pembawa.
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `bedrock-mantle`(Amazon Bedrock Mantle) - Memungkinkan kepala sekolah untuk mendapatkan dan mencantumkan sumber daya proyek Amazon Bedrock Mantle, dan menelepon dengan token pembawa untuk otentikasi.
## AWS kebijakan terkelola: AmazonBedrockMantleInferenceAccess
Anda dapat melampirkan [AmazonBedrockMantleInferenceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBedrockMantleInferenceAccess.html)kebijakan ke identitas IAM untuk memberikan izin menjalankan inferensi pada model Amazon Bedrock Mantle.
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `bedrock-mantle`(Amazon Bedrock Mantle) - Memungkinkan prinsipal untuk mendapatkan dan mencantumkan sumber daya proyek Amazon Bedrock Mantle, membuat permintaan inferensi, dan menelepon dengan token pembawa untuk otentikasi.
## Amazon Bedrock memperbarui kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon Bedrock sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan ke umpan RSS pada halaman [Riwayat dokumen untuk Panduan Pengguna Amazon Bedrock](doc-history.md).
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [AmazonBedrockMantleFullAccess](#security-iam-awsmanpol-AmazonBedrockMantleFullAccess) – Kebijakan baru | Amazon Bedrock menambahkan kebijakan baru untuk memberikan akses penuh ke semua operasi Amazon Bedrock Mantle. | Desember 3, 2025 |
| [AmazonBedrockMantleReadOnly](#security-iam-awsmanpol-AmazonBedrockMantleReadOnly) – Kebijakan baru | Amazon Bedrock menambahkan kebijakan baru untuk memberikan akses hanya-baca ke sumber daya Amazon Bedrock Mantle. | Desember 3, 2025 |
| [AmazonBedrockMantleInferenceAccess](#security-iam-awsmanpol-AmazonBedrockMantleInferenceAccess) – Kebijakan baru | Amazon Bedrock menambahkan kebijakan baru untuk memberikan akses inferensi ke model Amazon Bedrock Mantle. | Desember 3, 2025 |
| [AmazonBedrockFullAccess](#security-iam-awsmanpol-AmazonBedrockFullAccess)— Kebijakan yang diperbarui | Amazon Bedrock memperbarui kebijakan AmazonBedrockFullAccess terkelola untuk mengaktifkan akses ke semua model foundation tanpa server secara default. | 14 Juli 2025 |
| [AmazonBedrockMarketplaceAccess](#security-iam-awsmanpol-AmazonBedrockLimitedAccess) – Kebijakan baru | Amazon Bedrock menambahkan kebijakan baru untuk memberikan izin kepada pelanggan untuk mengakses model yayasan Amazon Bedrock Marketplace melalui SageMaker titik akhir AI. | Juni 13, 2025 |
| [AmazonBedrockLimitedAccess](#security-iam-awsmanpol-AmazonBedrockLimitedAccess) – Kebijakan baru | Amazon Bedrock menambahkan kebijakan baru untuk memberikan izin dasar kepada pelanggan untuk mengakses tindakan inti di Amazon Bedrock. | Juni 13, 2025 |
| [AmazonBedrockFullAccess](#security-iam-awsmanpol-AmazonBedrockFullAccess)— Kebijakan yang diperbarui | Amazon Bedrock memperbarui kebijakan AmazonBedrockFullAccess terkelola untuk memberi pelanggan izin yang diperlukan untuk membuat, membaca, memperbarui, dan menghapus sumber daya Amazon Bedrock Marketplace. Ini termasuk izin untuk mengelola sumber daya Amazon SageMaker AI yang mendasarinya, karena berfungsi sebagai dasar untuk fungsionalitas Amazon Bedrock Marketplace. | 4 Desember 2024 |
| [AmazonBedrockReadOnly](#security-iam-awsmanpol-AmazonBedrockReadOnly)— Kebijakan yang diperbarui | Amazon Bedrock memperbarui kebijakan AmazonBedrockReadOnly terkelola untuk memberi pelanggan izin yang diperlukan untuk membaca sumber daya Amazon Bedrock Marketplace. Ini termasuk izin untuk mengelola sumber daya Amazon SageMaker AI yang mendasarinya, karena berfungsi sebagai dasar untuk fungsionalitas Amazon Bedrock Marketplace. | 4 Desember 2024 |
| [AmazonBedrockReadOnly](#security-iam-awsmanpol-AmazonBedrockReadOnly)— Kebijakan yang diperbarui | Amazon Bedrock memperbarui AmazonBedrockReadOnly kebijakan untuk menyertakan izin hanya-baca untuk impor model kustom. | Oktober 18, 2024 |
| [AmazonBedrockReadOnly](#security-iam-awsmanpol-AmazonBedrockReadOnly)— Kebijakan yang diperbarui | Amazon Bedrock menambahkan izin read-only profil inferensi. | Agustus 27, 2024 |
| [AmazonBedrockReadOnly](#security-iam-awsmanpol-AmazonBedrockReadOnly)— Kebijakan yang diperbarui | Amazon Bedrock memperbarui AmazonBedrockReadOnly kebijakan untuk menyertakan izin hanya-baca untuk Amazon Bedrock Guardrails, evaluasi Amazon Bedrock Model, dan inferensi Batch Amazon Bedrock. | Agustus 21, 2024 |
| [AmazonBedrockReadOnly](#security-iam-awsmanpol-AmazonBedrockReadOnly)— Kebijakan yang diperbarui | Amazon Bedrock menambahkan izin hanya-baca inferensi batch (pekerjaan pemanggilan model). | Agustus 21, 2024 |
| [AmazonBedrockReadOnly](#security-iam-awsmanpol-AmazonBedrockReadOnly)— Kebijakan yang diperbarui | Amazon Bedrock memperbarui AmazonBedrockReadOnly kebijakan untuk menyertakan izin hanya-baca untuk Impor Model Kustom Amazon Bedrock. | September 3, 2024 |
| [AmazonBedrockFullAccess](#security-iam-awsmanpol-AmazonBedrockFullAccess) – Kebijakan baru | Amazon Bedrock menambahkan kebijakan baru untuk memberikan izin kepada pengguna untuk membuat, membaca, memperbarui, dan menghapus sumber daya. | Desember 12, 2023 |
| [AmazonBedrockReadOnly](#security-iam-awsmanpol-AmazonBedrockReadOnly) – Kebijakan baru | Amazon Bedrock menambahkan kebijakan baru untuk memberi pengguna izin hanya-baca untuk semua tindakan. | Desember 12, 2023 |
| Amazon Bedrock mulai melacak perubahan | Amazon Bedrock mulai melacak perubahan untuk kebijakan yang AWS dikelola. | Desember 12, 2023 |
# Peran layanan
Amazon Bedrock menggunakan [peran layanan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) untuk beberapa fitur agar Amazon Bedrock menjalankan tugas atas nama Anda.
Konsol secara otomatis membuat peran layanan untuk fitur yang didukung.
Anda juga dapat membuat peran layanan kustom dan menyesuaikan izin terlampir ke kasus penggunaan spesifik Anda. Jika Anda menggunakan konsol, Anda dapat memilih peran ini daripada membiarkan Amazon Bedrock membuatnya untuk Anda.
Untuk mengatur peran layanan kustom, Anda melakukan langkah-langkah umum berikut.
1. Buat peran dengan mengikuti langkah-langkah di [Membuat peran untuk mendelegasikan izin ke layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html). AWS
1. Lampirkan **kebijakan kepercayaan**.
1. Lampirkan izin **berbasis identitas** yang relevan.
**penting**
Saat menyetel `iam:PassRole` izin, pastikan pengguna tidak dapat meneruskan peran di mana peran tersebut memiliki lebih banyak izin daripada yang Anda inginkan untuk dimiliki pengguna. Misalnya, Alice mungkin tidak diizinkan untuk tampil `bedrock:InvokeModel` pada model kustom. Jika Alice dapat memberikan peran ke Amazon Bedrock untuk membuat evaluasi model kustom itu, layanan dapat memanggil model itu atas nama Alice saat menjalankan pekerjaan.
Lihat tautan berikut untuk informasi selengkapnya tentang konsep IAM yang relevan dengan pengaturan izin peran layanan.
+ [AWS peran layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)
+ [Kebijakan berbasis identitas dan kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)
+ [Menggunakan kebijakan berbasis sumber daya untuk Lambda](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html)
+ [AWS kunci konteks kondisi global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [Kunci kondisi untuk Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)
Pilih topik untuk mempelajari lebih lanjut tentang peran layanan untuk fitur tertentu.
**Topics**
+ [Buat peran layanan khusus untuk inferensi batch](batch-iam-sr.md)
+ [Buat peran layanan untuk kustomisasi model](model-customization-iam-role.md)
+ [Buat peran layanan untuk mengimpor model pra-terlatih](model-import-iam-role.md)
+ [Buat peran layanan untuk Amazon Bedrock Agents](agents-permissions.md)
+ [Membuat peran layanan untuk Amazon Bedrock Knowledge Bases](kb-permissions.md)
+ [Buat peran layanan untuk Amazon Bedrock Flows di Amazon Bedrock](flows-permissions.md)
+ [Persyaratan peran layanan untuk pekerjaan evaluasi model](model-evaluation-security-service-roles.md)
# Buat peran layanan khusus untuk inferensi batch
Untuk menggunakan peran layanan kustom untuk inferensi batch, bukan yang dibuat Amazon Bedrock secara otomatis untuk AndaKonsol Manajemen AWS, buat peran IAM dan lampirkan izin berikut dengan mengikuti langkah-langkah di [Membuat peran untuk mendelegasikan izin ke](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) layanan. AWS
**Topics**
+ [Hubungan kepercayaan](#batch-iam-sr-trust)
+ [Izin berbasis identitas untuk peran layanan inferensi batch.](#batch-iam-sr-identity)
## Hubungan kepercayaan
Kebijakan kepercayaan berikut memungkinkan Amazon Bedrock untuk mengambil peran ini dan mengirimkan serta mengelola pekerjaan inferensi batch. Ganti *values* yang diperlukan. Kebijakan ini berisi kunci kondisi opsional (lihat [Kunci kondisi untuk Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) dan [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) di `Condition` bidang yang kami sarankan Anda gunakan sebagai praktik terbaik keamanan.
**catatan**
Sebagai praktik terbaik untuk tujuan keamanan, ganti *\$1* dengan pekerjaan inferensi batch tertentu IDs setelah Anda membuatnya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
}
}
}
]
}
```
------
## Izin berbasis identitas untuk peran layanan inferensi batch.
Topik berikut menjelaskan dan memberikan contoh kebijakan izin yang mungkin perlu Anda lampirkan ke peran layanan inferensi batch kustom Anda, tergantung pada kasus penggunaan Anda.
**Topics**
+ [(Wajib) Izin untuk mengakses data input dan output di Amazon S3](#batch-iam-sr-s3)
+ [(Opsional) Izin untuk menjalankan inferensi batch dengan profil inferensi](#batch-iam-sr-ip)
### (Wajib) Izin untuk mengakses data input dan output di Amazon S3
Untuk mengizinkan peran layanan mengakses bucket Amazon S3 yang berisi data input dan bucket tempat menulis data keluaran, lampirkan kebijakan berikut ke peran layanan. Ganti *values* seperlunya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${InputBucket}",
"arn:aws:s3:::${InputBucket}/*",
"arn:aws:s3:::${OutputBucket}",
"arn:aws:s3:::${OutputBucket}/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": [
"123456789012"
]
}
}
}
]
}
```
------
### (Opsional) Izin untuk menjalankan inferensi batch dengan profil inferensi
Untuk menjalankan inferensi batch dengan [profil inferensi](inference-profiles.md), peran layanan harus memiliki izin untuk memanggil profil inferensi diWilayah AWS, selain model di setiap Wilayah di profil inferensi.
Agar izin dipanggil dengan profil inferensi lintas wilayah (ditentukan sistem), gunakan kebijakan berikut sebagai templat untuk kebijakan izin yang akan dilampirkan ke peran layanan Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
]
}
]
}
```
------
Agar izin dipanggil dengan profil inferensi aplikasi, gunakan kebijakan berikut ini sebagai templat agar kebijakan izin dilampirkan ke peran layanan Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ApplicationInferenceProfile",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/${InferenceProfileId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
]
}
]
}
```
------
# Buat peran layanan untuk kustomisasi model
Untuk menggunakan peran kustom untuk penyesuaian model alih-alih yang dibuat Amazon Bedrock secara otomatis, buat peran IAM dan lampirkan izin berikut dengan mengikuti langkah-langkah di [Membuat peran untuk mendelegasikan izin ke](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) layanan. AWS
+ Hubungan kepercayaan
+ Izin untuk mengakses data pelatihan dan validasi Anda di S3 dan untuk menulis data keluaran Anda ke S3
+ (Opsional) Jika Anda mengenkripsi salah satu sumber daya berikut dengan kunci KMS, izin untuk mendekripsi kunci (lihat) [Enkripsi model khusus](encryption-custom-job.md)
+ Pekerjaan kustomisasi model atau model kustom yang dihasilkan
+ Data pelatihan, validasi, atau output untuk pekerjaan kustomisasi model
**Topics**
+ [Hubungan kepercayaan](#model-customization-iam-role-trust)
+ [Izin untuk mengakses file pelatihan dan validasi dan untuk menulis file output di S3](#model-customization-iam-role-s3)
+ [(Opsional) Izin untuk membuat pekerjaan Distilasi dengan profil inferensi lintas wilayah](#customization-iam-sr-ip)
## Hubungan kepercayaan
Kebijakan berikut memungkinkan Amazon Bedrock untuk mengambil peran ini dan melaksanakan pekerjaan penyesuaian model. Berikut ini menunjukkan contoh kebijakan yang dapat Anda gunakan.
Anda dapat secara opsional membatasi ruang lingkup izin untuk [pencegahan wakil kebingungan lintas layanan](cross-service-confused-deputy-prevention.md) dengan menggunakan satu atau lebih kunci konteks kondisi global dengan bidang tersebut. `Condition` Untuk informasi selengkapnya, lihat [kunci konteks kondisi AWS global.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ Tetapkan `aws:SourceAccount` nilainya ke ID akun Anda.
+ (Opsional) Gunakan `ArnLike` kondisi `ArnEquals` atau untuk membatasi ruang lingkup pada pekerjaan penyesuaian model tertentu di ID akun Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-customization-job/*"
}
}
}
]
}
```
------
## Izin untuk mengakses file pelatihan dan validasi dan untuk menulis file output di S3
Lampirkan kebijakan berikut untuk memungkinkan peran mengakses data pelatihan dan validasi Anda serta bucket untuk menulis data keluaran Anda. Ganti nilai dalam `Resource` daftar dengan nama bucket Anda yang sebenarnya.
Untuk membatasi akses ke folder tertentu dalam bucket, tambahkan kunci `s3:prefix` kondisi dengan jalur folder Anda. Anda dapat mengikuti contoh **Kebijakan pengguna** di [Contoh 2: Mendapatkan daftar objek dalam bucket dengan awalan tertentu](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::training-bucket",
"arn:aws:s3:::training-bucket/*",
"arn:aws:s3:::validation-bucket",
"arn:aws:s3:::validation-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::output-bucket",
"arn:aws:s3:::output-bucket/*"
]
}
]
}
```
------
## (Opsional) Izin untuk membuat pekerjaan Distilasi dengan profil inferensi lintas wilayah
Untuk menggunakan profil inferensi lintas wilayah untuk model guru dalam pekerjaan distilasi, peran layanan harus memiliki izin untuk memanggil profil inferensi diWilayah AWS, selain model di setiap Wilayah dalam profil inferensi.
Agar izin dipanggil dengan profil inferensi lintas wilayah (ditentukan sistem), gunakan kebijakan berikut sebagai templat untuk kebijakan izin yang akan dilampirkan ke peran layanan Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
"arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
]
}
]
}
```
------
# Buat peran layanan untuk mengimpor model pra-terlatih
Untuk menggunakan peran kustom untuk impor model, buat peran layanan IAM dan lampirkan izin berikut. Untuk informasi tentang cara membuat peran layanan di IAM, lihat [Membuat peran untuk mendelegasikan izin ke](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) layanan. AWS
Izin ini berlaku untuk kedua metode mengimpor model ke Amazon Bedrock:
+ **Pekerjaan impor model khusus** - Untuk mengimpor model fondasi sumber terbuka yang disesuaikan (seperti Mistral AI atau Llama model). Untuk informasi selengkapnya, lihat [Gunakan impor model khusus untuk mengimpor model sumber terbuka yang disesuaikan ke Amazon Bedrock](model-customization-import-model.md).
+ **Buat model khusus** - Untuk mengimpor Amazon Nova model yang Anda sesuaikan dengan AI. SageMaker Untuk informasi selengkapnya, lihat [Impor model Amazon Nova yang SageMaker dilatih AI](import-with-create-custom-model.md).
**Topics**
+ [Hubungan kepercayaan](#model-import-iam-role-trust)
+ [Izin untuk mengakses file model di Amazon S3](#model-import-iam-role-s3)
## Hubungan kepercayaan
Kebijakan berikut memungkinkan Amazon Bedrock untuk mengambil peran ini dan melakukan operasi impor model. Berikut ini menunjukkan contoh kebijakan yang dapat Anda gunakan.
Anda dapat secara opsional membatasi ruang lingkup izin untuk [pencegahan wakil kebingungan lintas layanan](cross-service-confused-deputy-prevention.md) dengan menggunakan satu atau lebih kunci konteks kondisi global dengan bidang tersebut. `Condition` Untuk informasi selengkapnya, lihat [kunci konteks kondisi AWS global.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ Tetapkan `aws:SourceAccount` nilainya ke ID akun Anda.
+ (Opsional) Gunakan `ArnEquals` atau `ArnLike` kondisi untuk membatasi ruang lingkup untuk operasi tertentu di akun Anda. Contoh berikut membatasi akses ke pekerjaan impor model kustom.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-import-job/*"
}
}
}
]
}
```
------
## Izin untuk mengakses file model di Amazon S3
Lampirkan kebijakan berikut untuk mengizinkan peran mengakses file model di bucket Amazon S3. Ganti nilai dalam `Resource` daftar dengan nama bucket Anda yang sebenarnya.
Untuk pekerjaan impor model khusus, ini adalah bucket Amazon S3 Anda sendiri yang berisi file model sumber terbuka yang disesuaikan. Untuk membuat model khusus dari model yang SageMaker dilatih AI, ini adalah bucket Amazon S3 yang dikelola Amazon tempat SageMaker AI menyimpan artefak Amazon Nova model terlatih. SageMaker AI menciptakan bucket ini saat Anda menjalankan pekerjaan pelatihan SageMaker AI pertama Anda.
Untuk membatasi akses ke folder tertentu dalam bucket, tambahkan kunci `s3:prefix` kondisi dengan jalur folder Anda. Anda dapat mengikuti contoh **Kebijakan pengguna** di [Contoh 2: Mendapatkan daftar objek dalam bucket dengan awalan tertentu](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
------
# Buat peran layanan untuk Amazon Bedrock Agents
Untuk menggunakan peran layanan kustom untuk agen, bukan yang dibuat Amazon Bedrock secara otomatis, buat peran IAM dan lampirkan izin berikut dengan mengikuti langkah-langkah di [Membuat peran untuk mendelegasikan izin ke](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) layanan. AWS
+ Kebijakan kepercayaan
+ Kebijakan yang berisi izin berbasis identitas berikut:
+ Akses ke model dasar Amazon Bedrock.
+ Akses ke objek Amazon S3 yang berisi OpenAPI skema untuk grup tindakan di agen Anda.
+ Izin untuk Amazon Bedrock untuk menanyakan basis pengetahuan yang ingin Anda lampirkan ke agen Anda.
+ Jika salah satu situasi berikut berkaitan dengan kasus penggunaan Anda, tambahkan pernyataan ke kebijakan atau tambahkan kebijakan dengan pernyataan ke peran layanan:
+ (Opsional) Jika Anda mengaktifkan kolaborasi multi-agen, izin untuk mendapatkan alias dan memanggil kolaborator agen.
+ (Opsional) Jika Anda mengaitkan Throughput yang Disediakan dengan alias agen Anda, izin untuk melakukan pemanggilan model menggunakan Throughput yang Disediakan tersebut.
+ (Opsional) Jika Anda mengaitkan pagar pembatas dengan agen Anda, izin untuk menerapkan pagar pembatas tersebut. [Jika pagar pembatas dienkripsi dengan kunci KMS, peran layanan juga akan memerlukan izin untuk mendekripsi kunci](guardrails-permissions-kms.md)
+ (Opsional) Jika Anda mengenkripsi agen Anda dengan kunci KMS, [izin untuk mendekripsi](encryption-agents.md) kunci.
Baik Anda menggunakan peran kustom atau tidak, Anda juga perlu melampirkan kebijakan **berbasis sumber daya ke** fungsi Lambda untuk grup tindakan di agen Anda guna memberikan izin bagi peran layanan untuk mengakses fungsi. Untuk informasi selengkapnya, lihat [Kebijakan berbasis sumber daya untuk mengizinkan Amazon Bedrock menjalankan fungsi Lambda grup tindakan](#agents-permissions-lambda).
**Topics**
+ [Hubungan kepercayaan](#agents-permissions-trust)
+ [Izin berbasis identitas untuk peran layanan Agen](#agents-permissions-identity)
+ [(Opsional) Kebijakan berbasis identitas untuk mengizinkan Amazon Bedrock menggunakan Throughput yang Disediakan dengan alias agen Anda](#agents-permissions-pt)
+ [(Opsional) Kebijakan berbasis identitas untuk mengizinkan Amazon Bedrock mengaitkan dan memanggil kolaborator agen](#agents-permissions-mac)
+ [(Opsional) Kebijakan berbasis identitas untuk mengizinkan Amazon Bedrock menggunakan pagar pembatas dengan Agen Anda](#agents-permissions-gr)
+ [(Opsional) Kebijakan berbasis identitas untuk mengizinkan Amazon Bedrock mengakses file dari S3 untuk digunakan dengan interpretasi kode](#agents-permissions-files-ci)
+ [Kebijakan berbasis sumber daya untuk mengizinkan Amazon Bedrock menjalankan fungsi Lambda grup tindakan](#agents-permissions-lambda)
## Hubungan kepercayaan
Kebijakan kepercayaan berikut memungkinkan Amazon Bedrock untuk mengambil peran ini dan membuat serta mengelola agen. Ganti *\$1\$1values\$1* yang diperlukan. Kebijakan ini berisi kunci kondisi opsional (lihat [Kunci kondisi untuk Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) dan [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) di `Condition` bidang yang kami sarankan Anda gunakan sebagai praktik terbaik keamanan.
**catatan**
Sebagai praktik terbaik untuk tujuan keamanan, ganti *\$1* dengan agen tertentu IDs setelah Anda membuatnya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:agent/*"
}
}
}
]
}
```
------
## Izin berbasis identitas untuk peran layanan Agen
Lampirkan kebijakan berikut untuk memberikan izin untuk peran layanan, ganti *\$1\$1values\$1* seperlunya. Kebijakan tersebut berisi pernyataan berikut. Hilangkan pernyataan jika tidak berlaku untuk kasus penggunaan Anda. Kebijakan ini berisi kunci kondisi opsional (lihat [Kunci kondisi untuk Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) dan [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) di `Condition` bidang yang kami sarankan Anda gunakan sebagai praktik terbaik keamanan.
**catatan**
Jika Anda mengenkripsi agen Anda dengan kunci KMS yang dikelola pelanggan, lihat [Enkripsi sumber daya agen untuk agen yang dibuat sebelum 22 Januari 2025](encryption-agents.md) untuk izin lebih lanjut yang perlu Anda tambahkan.
+ Izin untuk menggunakan model foundation Amazon Bedrock untuk menjalankan inferensi model pada prompt yang digunakan dalam orkestrasi agen Anda.
+ Izin untuk mengakses skema API grup tindakan agen Anda di Amazon S3. Abaikan pernyataan ini jika agen Anda tidak memiliki grup tindakan.
+ Izin untuk mengakses basis pengetahuan yang terkait dengan agen Anda. Abaikan pernyataan ini jika agen Anda tidak memiliki basis pengetahuan terkait.
+ Izin untuk mengakses basis pengetahuan pihak ketiga (PineconeatauRedis Enterprise Cloud) yang terkait dengan agen Anda. Abaikan pernyataan ini jika basis pengetahuan Anda adalah pihak pertama (Amazon Tanpa OpenSearch Server atau Amazon Aurora) atau jika agen Anda tidak memiliki basis pengetahuan terkait.
+ Izin untuk mengakses prompt dari manajemen Prompt. Abaikan pernyataan ini jika Anda tidak berencana untuk menguji prompt dari manajemen prompt dengan agen Anda di konsol Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AgentModelInvocationPermissions",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-v2",
"arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-v2:1",
"arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-instant-v1"
]
},
{
"Sid": "AgentActionGroupS3",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/SchemaJson"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Sid": "AgentKnowledgeBaseQuery",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve",
"bedrock:RetrieveAndGenerate"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id"
]
},
{
"Sid": "Agent3PKnowledgeBase",
"Effect": "Allow",
"Action": [
"bedrock:AssociateThirdPartyKnowledgeBase"
],
"Resource": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id",
"Condition": {
"StringEquals": {
"bedrock:ThirdPartyKnowledgeBaseCredentialsSecretArn": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
}
}
},
{
"Sid": "AgentPromptManagementConsole",
"Effect": "Allow",
"Action": [
"bedrock:GetPrompt"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:prompt/prompt-id"
]
}
]
}
```
------
## (Opsional) Kebijakan berbasis identitas untuk mengizinkan Amazon Bedrock menggunakan Throughput yang Disediakan dengan alias agen Anda
Jika Anda mengaitkan [Throughput yang Disediakan](prov-throughput.md) dengan alias agen Anda, lampirkan kebijakan berbasis identitas berikut ke peran layanan atau tambahkan pernyataan tersebut ke kebijakan. [Izin berbasis identitas untuk peran layanan Agen](#agents-permissions-identity)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "UseProvisionedThroughput",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:GetProvisionedModelThroughput"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:provisioned-model/${provisioned-model-id}"
]
}
]
}
```
------
## (Opsional) Kebijakan berbasis identitas untuk mengizinkan Amazon Bedrock mengaitkan dan memanggil kolaborator agen
Jika Anda mengaktifkan [kolaborasi multi-agen](agents-multi-agent-collaboration.md), lampirkan kebijakan berbasis identitas berikut ke peran layanan atau tambahkan pernyataan ke kebijakan. [Izin berbasis identitas untuk peran layanan Agen](#agents-permissions-identity)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonBedrockAgentMultiAgentsPolicyProd",
"Effect": "Allow",
"Action": [
"bedrock:GetAgentAlias",
"bedrock:InvokeAgent"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:agent-alias/${agent-id}/${agent-alias-id}"
]
}
]
}
```
------
## (Opsional) Kebijakan berbasis identitas untuk mengizinkan Amazon Bedrock menggunakan pagar pembatas dengan Agen Anda
Jika Anda mengaitkan [pagar pembatas](guardrails.md) dengan agen Anda, lampirkan kebijakan berbasis identitas berikut ke peran layanan atau tambahkan pernyataan tersebut ke kebijakan. [Izin berbasis identitas untuk peran layanan Agen](#agents-permissions-identity)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ApplyGuardrail",
"Effect": "Allow",
"Action": "bedrock:ApplyGuardrail",
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/${guardrail-id}"
]
}
]
}
```
------
## (Opsional) Kebijakan berbasis identitas untuk mengizinkan Amazon Bedrock mengakses file dari S3 untuk digunakan dengan interpretasi kode
Jika Anda mengaktifkan[Aktifkan interpretasi kode di Amazon Bedrock](agents-enable-code-interpretation.md), lampirkan kebijakan berbasis identitas berikut ke peran layanan atau tambahkan pernyataan ke kebijakan dalam [Izin berbasis identitas](https://docs.aws.amazon.com//bedrock/latest/userguide/agents-permissions.html#agents-permissions-identity) untuk peran layanan Agen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonBedrockAgentFileAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectVersionAttributes",
"s3:GetObjectAttributes"
],
"Resource": [
"arn:aws:s3:::[[customerProvidedS3BucketWithKey]]"
]
}
]
}
```
------
## Kebijakan berbasis sumber daya untuk mengizinkan Amazon Bedrock menjalankan fungsi Lambda grup tindakan
Ikuti langkah-langkah di [Menggunakan kebijakan berbasis sumber daya untuk Lambda dan lampirkan kebijakan berbasis](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) sumber daya berikut ke fungsi Lambda untuk memungkinkan Amazon Bedrock mengakses fungsi Lambda untuk grup tindakan agen Anda, menggantikan yang diperlukan. *\$1\$1values\$1* Kebijakan ini berisi kunci kondisi opsional (lihat [Kunci kondisi untuk Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) dan [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) di `Condition` bidang yang kami sarankan Anda gunakan sebagai praktik terbaik keamanan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessLambdaFunction",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:us-east-1:123456789012:function:function-name",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "123456789012"
},
"ArnLike": {
"AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
# Membuat peran layanan untuk Amazon Bedrock Knowledge Bases
Untuk menggunakan peran kustom untuk basis pengetahuan alih-alih yang dibuat Amazon Bedrock secara otomatis, buat peran IAM dan lampirkan izin berikut dengan mengikuti langkah-langkah di [Membuat peran untuk mendelegasikan izin ke](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) layanan. AWS Sertakan hanya izin yang diperlukan untuk keamanan Anda sendiri.
**catatan**
Kebijakan tidak dapat dibagikan di antara beberapa peran saat peran layanan digunakan.
+ Hubungan kepercayaan
+ Akses ke model dasar Amazon Bedrock
+ Akses ke sumber data tempat Anda menyimpan data
+ (Jika Anda membuat database vektor di Amazon OpenSearch Service) Akses ke koleksi OpenSearch Layanan Anda
+ (Jika Anda membuat database vektor di Amazon Aurora) Akses ke cluster Aurora Anda
+ (Jika Anda membuat database vektor di Pinecone atauRedis Enterprise Cloud) Izin AWS Secrets Manager untuk mengautentikasi atau akun Anda Pinecone Redis Enterprise Cloud
+ (Opsional) Jika Anda mengenkripsi salah satu sumber daya berikut dengan kunci KMS, izin untuk mendekripsi kunci (lihat). [Enkripsi sumber daya basis pengetahuan](encryption-kb.md)
+ Basis pengetahuan Anda
+ Sumber data untuk basis pengetahuan Anda
+ Database vektor Anda di Amazon OpenSearch Service
+ Rahasia untuk database vektor pihak ketiga Anda di AWS Secrets Manager
+ Pekerjaan menelan data
**Topics**
+ [Hubungan kepercayaan](#kb-permissions-trust)
+ [Izin untuk mengakses model Amazon Bedrock](#kb-permissions-access-models)
+ [Izin untuk mengakses sumber data Anda](#kb-permissions-access-ds)
+ [Izin untuk mendekripsi AWS KMS kunci Anda untuk sumber data terenkripsi di Amazon S3](#kb-permissions-kms-datasource)
+ [Izin untuk mengobrol dengan dokumen Anda](#kb-permissions-chatdoc)
+ [Izin untuk konten multimodal](#kb-permissions-multimodal)
+ [Izin untuk mengakses indeks Amazon Kendra GenAI Anda](#kb-permissions-kendra)
+ [Izin untuk mengakses database vektor Anda di Amazon Tanpa Server OpenSearch](#kb-permissions-oss)
+ [Izin untuk mengakses database vektor Anda di Cluster OpenSearch Terkelola](#kb-permissions-osm)
+ [Izin untuk mengakses kluster basis data Amazon Aurora Anda](#kb-permissions-rds)
+ [Izin untuk mengakses database vektor Anda di Amazon Neptune Analytics](#kb-permissions-neptune)
+ [Izin untuk mengakses toko vektor Anda di Amazon S3 Vektor](#kb-permissions-s3vectors)
+ [Izin untuk mengakses database vektor yang dikonfigurasi dengan rahasia AWS Secrets Manager](#kb-permissions-secret)
+ [Izin AWS untuk mengelola AWS KMS kunci untuk penyimpanan data sementara selama konsumsi data](#kb-permissions-kms-ingestion)
+ [Izin AWS untuk mengelola sumber data dari AWS akun pengguna lain.](#kb-permissions-otherds)
## Hubungan kepercayaan
Kebijakan berikut memungkinkan Amazon Bedrock untuk mengambil peran ini dan membuat serta mengelola basis pengetahuan. Berikut ini menunjukkan contoh kebijakan yang dapat Anda gunakan. Anda dapat membatasi cakupan izin dengan menggunakan satu atau lebih kunci konteks kondisi global. Untuk informasi selengkapnya, lihat [kunci konteks kondisi AWS global.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) Tetapkan `aws:SourceAccount` nilainya ke ID akun Anda. Gunakan `ArnEquals` atau `ArnLike` kondisi untuk membatasi ruang lingkup ke basis pengetahuan tertentu.
**catatan**
Sebagai praktik terbaik untuk tujuan keamanan, ganti *\$1* dengan basis pengetahuan khusus IDs setelah Anda membuatnya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
}
}
}
]
}
```
------
## Izin untuk mengakses model Amazon Bedrock
Lampirkan kebijakan berikut untuk memberikan izin bagi peran untuk menggunakan model Amazon Bedrock untuk menyematkan data sumber Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"bedrock:ListFoundationModels",
"bedrock:ListCustomModels"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/amazon.titan-embed-text-v1",
"arn:aws:bedrock:us-east-1::foundation-model/cohere.embed-english-v3",
"arn:aws:bedrock:us-east-1::foundation-model/cohere.embed-multilingual-v3"
]
}
]
}
```
------
## Izin untuk mengakses sumber data Anda
Pilih dari sumber data berikut untuk melampirkan izin yang diperlukan untuk peran tersebut.
**Topics**
+ [Izin untuk mengakses sumber data Amazon S3 Anda](#kb-permissions-access-s3)
+ [Izin untuk mengakses sumber data Confluence](#kb-permissions-access-confluence)
+ [Izin untuk mengakses sumber SharePoint data Microsoft Anda](#kb-permissions-access-sharepoint)
+ [Izin untuk mengakses sumber data Salesforce Anda](#kb-permissions-access-salesforce)
### Izin untuk mengakses sumber data Amazon S3 Anda
Jika sumber data Anda adalah Amazon S3, lampirkan kebijakan berikut untuk memberikan izin bagi peran untuk mengakses bucket S3 yang akan Anda sambungkan sebagai sumber data Anda.
Jika Anda mengenkripsi sumber data dengan AWS KMS kunci, lampirkan izin untuk mendekripsi kunci peran dengan mengikuti langkah-langkah di. [Izin untuk mendekripsi AWS KMS kunci Anda untuk sumber data Anda di Amazon S3](encryption-kb.md#encryption-kb-ds)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3ListBucketStatement",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Sid": "S3GetObjectStatement",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
------
### Izin untuk mengakses sumber data Confluence
**catatan**
Konektor sumber data pertemuan dalam rilis pratinjau dan dapat berubah sewaktu-waktu.
Lampirkan kebijakan berikut untuk memberikan izin bagi peran untuk mengakses Confluence.
**catatan**
`secretsmanager:PutSecretValue`hanya diperlukan jika Anda menggunakan otentikasi OAuth 2.0 dengan token penyegaran.
Token **akses** Confluence OAuth2 .0 memiliki waktu kedaluwarsa default 60 menit. Jika token ini kedaluwarsa saat sumber data Anda disinkronkan (pekerjaan sinkronisasi), Amazon Bedrock akan menggunakan token **penyegaran** yang disediakan untuk membuat ulang token ini. Regenerasi ini menyegarkan token akses dan penyegaran. Untuk menjaga token diperbarui dari pekerjaan sinkronisasi saat ini ke pekerjaan sinkronisasi berikutnya, Amazon Bedrock memerlukan write/put izin untuk kredensil rahasia Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:SecretId"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/KeyId"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
### Izin untuk mengakses sumber SharePoint data Microsoft Anda
**catatan**
SharePoint konektor sumber data dalam rilis pratinjau dan dapat berubah.
Lampirkan kebijakan berikut untuk memberikan izin bagi peran yang akan diakses SharePoint.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:SecretId"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/KeyId"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
### Izin untuk mengakses sumber data Salesforce Anda
**catatan**
Konektor sumber data Salesforce dalam rilis pratinjau dan dapat berubah sewaktu-waktu.
Lampirkan kebijakan berikut untuk memberikan izin bagi peran untuk mengakses Salesforce.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:SecretId"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/KeyId"
],
"Condition": {
"StringLike": {
"kms:ViaService": [
"secretsmanager.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Izin untuk mendekripsi AWS KMS kunci Anda untuk sumber data terenkripsi di Amazon S3
Jika Anda mengenkripsi sumber data di Amazon S3 dengan AWS KMS kunci, lampirkan kebijakan berikut ke peran layanan Pangkalan Pengetahuan Amazon Bedrock Anda untuk mengizinkan Amazon Bedrock mendekripsi kunci Anda. Ganti *\$1\$1Region\$1* dan *\$1\$1AccountId\$1* dengan Wilayah dan ID akun tempat kunci tersebut berada. Ganti *\$1\$1KeyId\$1* dengan ID AWS KMS kunci Anda.
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:${Region}:${AccountId}:key/${KeyId}"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.${Region}.amazonaws.com"
]
}
}
}]
}
```
## Izin untuk mengobrol dengan dokumen Anda
Lampirkan kebijakan berikut untuk memberikan izin bagi peran untuk menggunakan model Amazon Bedrock untuk mengobrol dengan dokumen Anda:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"bedrock:RetrieveAndGenerate"
],
"Resource": "*"
}
]
}
```
------
Jika Anda hanya ingin memberi pengguna akses untuk mengobrol dengan dokumen Anda (dan tidak `RetrieveAndGenerate` pada semua Pangkalan Pengetahuan), gunakan kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"bedrock:RetrieveAndGenerate"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"bedrock:Retrieve"
],
"Resource": "*"
}
]
}
```
------
Jika Anda ingin mengobrol dengan dokumen dan menggunakan `RetrieveAndGenerate` Basis Pengetahuan tertentu, berikan*\$1\$1KnowledgeBaseArn\$1*, dan gunakan kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"bedrock:RetrieveAndGenerate"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"bedrock:Retrieve"
],
"Resource": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/$KnowledgeBaseId"
}
]
}
```
------
## Izin untuk konten multimodal
Saat bekerja dengan konten multimodal (gambar, audio, video), izin tambahan diperlukan tergantung pada pendekatan pemrosesan Anda.
### Izin Penyematan Multimodal Nova
Saat menggunakan Nova Multimodal Embeddings, lampirkan kebijakan berikut untuk memberikan izin untuk pemanggilan model asinkron:
```
{
"Sid": "BedrockInvokeModelStatement",
"Effect": "Allow",
"Action": ["bedrock:InvokeModel"],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/amazon.nova-*-multimodal-embeddings-*",
"arn:aws:bedrock:us-east-1::async-invoke/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": ""
}
}
},
{
"Sid": "BedrockGetAsyncInvokeStatement",
"Effect": "Allow",
"Action": ["bedrock:GetAsyncInvoke"],
"Resource": ["arn:aws:bedrock:us-east-1::async-invoke/*"],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": ""
}
}
}
```
### Izin Otomasi Data Batuan Dasar (BDA)
Saat menggunakan BDA untuk memproses konten multimodal, lampirkan kebijakan berikut:
```
{
"Sid": "BDAInvokeStatement",
"Effect": "Allow",
"Action": ["bedrock:InvokeDataAutomationAsync"],
"Resource": [
"arn:aws:bedrock:us-east-1:aws:data-automation-project/public-rag-default",
"arn:aws:bedrock:us-east-1::data-automation-profile/*"
]
},
{
"Sid": "BDAGetStatement",
"Effect": "Allow",
"Action": ["bedrock:GetDataAutomationStatus"],
"Resource": "arn:aws:bedrock:us-east-1::data-automation-invocation/*"
}
```
Jika Anda menggunakan AWS KMS kunci yang dikelola pelanggan dengan BDA, lampirkan juga kebijakan berikut. Ganti *account-id**region*,, dan *key-id* dengan nilai spesifik Anda:
```
{
"Sid": "KmsPermissionStatementForBDA",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": ["arn:aws:kms:region:account-id:key/key-id"],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "account-id",
"kms:ViaService": "bedrock.region.amazonaws.com"
}
}
}
```
## Izin untuk mengakses indeks Amazon Kendra GenAI Anda
Jika Anda membuat indeks Amazon Kendra GenAI untuk basis pengetahuan Anda, lampirkan kebijakan berikut ke peran layanan Pangkalan Pengetahuan Amazon Bedrock Anda untuk mengizinkan akses ke indeks. Dalam kebijakan, ganti*\$1\$1Partition\$1*,*\$1\$1Region\$1*,*\$1\$1AccountId\$1*, dan *\$1\$1IndexId\$1* dengan nilai untuk indeks Anda. Anda dapat mengizinkan akses ke beberapa indeks dengan menambahkannya ke `Resource` daftar. Untuk mengizinkan akses ke setiap indeks di Anda Akun AWS, ganti *\$1\$1IndexId\$1* dengan wildcard (\$1).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kendra:Retrieve",
"kendra:DescribeIndex"
],
"Resource": "arn:aws:kendra:us-east-1:123456789012:index/${IndexId}"
}
]
}
```
------
## Izin untuk mengakses database vektor Anda di Amazon Tanpa Server OpenSearch
Jika Anda membuat database vektor di OpenSearch Tanpa Server untuk basis pengetahuan Anda, lampirkan kebijakan berikut ke peran layanan Pangkalan Pengetahuan Amazon Bedrock Anda untuk mengizinkan akses ke koleksi. Ganti *\$1\$1Region\$1* dan *\$1\$1AccountId\$1* dengan Wilayah dan ID akun tempat database berada. Masukkan ID koleksi OpenSearch Layanan Amazon Anda di*\$1\$1CollectionId\$1*. Anda dapat mengizinkan akses ke beberapa koleksi dengan menambahkannya ke `Resource` daftar.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll"
],
"Resource": [
"arn:aws:aoss:us-east-1:123456789012:collection/${CollectionId}"
]
}
]
}
```
------
## Izin untuk mengakses database vektor Anda di Cluster OpenSearch Terkelola
Jika Anda membuat database vektor di Kluster OpenSearch Terkelola untuk basis pengetahuan Anda, lampirkan kebijakan berikut ke peran layanan Pangkalan Pengetahuan Amazon Bedrock Anda untuk mengizinkan akses ke domain. Ganti ** dan ** dengan Wilayah dan ID akun tempat database berada. Anda dapat mengizinkan akses ke beberapa domain dengan menambahkannya ke `Resource` daftar. Untuk informasi selengkapnya tentang mengonfigurasi izin, lihat. [Prasyarat dan izin yang diperlukan untuk menggunakan OpenSearch Kluster Terkelola dengan Pangkalan Pengetahuan Amazon BedrockIkhtisar konfigurasi izin](kb-osm-permissions-prereq.md)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"es:ESHttpGet",
"es:ESHttpPost",
"es:ESHttpPut",
"es:ESHttpDelete"
],
"Resource": [
"arn:aws:es:us-east-1:123456789012:domain/domainName/indexName"
]
},
{
"Effect": "Allow",
"Action": [
"es:DescribeDomain"
],
"Resource": [
"arn:aws:es:us-east-1:123456789012:domain/domainName"
]
}
]
}
```
------
## Izin untuk mengakses kluster basis data Amazon Aurora Anda
**catatan**
Cluster Amazon Aurora harus berada Akun AWS sama dengan cluster di mana basis pengetahuan dibuat untuk Amazon Bedrock.
Jika Anda membuat cluster database (DB) di Amazon Aurora untuk basis pengetahuan Anda, lampirkan kebijakan berikut ke peran layanan Pangkalan Pengetahuan Amazon Bedrock Anda untuk mengizinkan akses ke klaster DB dan untuk memberikan izin baca dan tulis di dalamnya. Ganti *\$1\$1Region\$1* dan *\$1\$1AccountId\$1* dengan Wilayah dan ID akun tempat cluster DB berada. Masukkan ID kluster database Amazon Aurora Anda ke dalam. *\$1\$1DbClusterId\$1* Anda dapat mengizinkan akses ke beberapa cluster DB dengan menambahkannya ke `Resource` daftar.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RdsDescribeStatementID",
"Effect": "Allow",
"Action": [
"rds:DescribeDBClusters"
],
"Resource": [
"arn:aws:rds:us-east-1:123456789012:cluster:${DbClusterId}"
]
},
{
"Sid": "DataAPIStatementID",
"Effect": "Allow",
"Action": [
"rds-data:BatchExecuteStatement",
"rds-data:ExecuteStatement"
],
"Resource": [
"arn:aws:rds:us-east-1:123456789012:cluster:${DbClusterId}"
]
}
]
}
```
------
## Izin untuk mengakses database vektor Anda di Amazon Neptune Analytics
Jika Anda membuat grafik Amazon Neptunus Analytics untuk basis pengetahuan Anda, lampirkan kebijakan berikut ke peran layanan Pangkalan Pengetahuan Amazon Bedrock Anda untuk mengizinkan akses ke grafik. Dalam kebijakan, ganti *\$1\$1Region\$1* dan *\$1\$1AccountId\$1* dengan Wilayah dan ID akun tempat database berada. Ganti *\$1\$1GraphId\$1* dengan nilai untuk database grafik Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "NeptuneAnalyticsAccess",
"Effect": "Allow",
"Action": [
"neptune-graph:GetGraph",
"neptune-graph:ReadDataViaQuery",
"neptune-graph:WriteDataViaQuery",
"neptune-graph:DeleteDataViaQuery"
],
"Resource": [
"arn:aws:neptune-graph:us-east-1:123456789012:graph/${GraphId}"
]
}
]
}
```
------
## Izin untuk mengakses toko vektor Anda di Amazon S3 Vektor
Jika Anda memilih untuk menggunakan Vektor Amazon S3 untuk basis pengetahuan Anda, lampirkan kebijakan berikut ke peran layanan Pangkalan Pengetahuan Amazon Bedrock Anda untuk mengizinkan akses ke indeks vektor.
Dalam kebijakan, ganti *\$1\$1Region\$1* dan *\$1\$1AccountId\$1* dengan Wilayah dan ID akun tempat indeks vektor berada. Ganti *\$1\$1BucketName\$1* dengan nama bucket vektor S3 Anda dan *\$1\$1IndexName\$1* dengan nama indeks vektor Anda. Untuk informasi selengkapnya tentang Vektor Amazon S3, lihat [Menyiapkan untuk menggunakan Vektor Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-vectors-setting-up.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3VectorBucketReadAndWritePermission",
"Effect": "Allow",
"Action": [
"s3vectors:PutVectors",
"s3vectors:GetVectors",
"s3vectors:DeleteVectors",
"s3vectors:QueryVectors",
"s3vectors:GetIndex"
],
"Resource": "arn:aws:s3vectors:us-east-1:123456789012:bucket/${BucketName}/index/${IndexName}"
}
]
}
```
------
## Izin untuk mengakses database vektor yang dikonfigurasi dengan rahasia AWS Secrets Manager
Jika database vektor Anda dikonfigurasi dengan AWS Secrets Manager rahasia, lampirkan kebijakan berikut ke peran layanan Pangkalan Pengetahuan Amazon Bedrock Anda AWS Secrets Manager untuk memungkinkan mengautentikasi akun Anda untuk mengakses database. Ganti *\$1\$1Region\$1* dan *\$1\$1AccountId\$1* dengan Wilayah dan ID akun tempat database berada. Ganti *\$1\$1SecretId\$1* dengan ID rahasia Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:${SecretId}"
]
}
]
}
```
------
Jika Anda mengenkripsi rahasia Anda dengan AWS KMS kunci, lampirkan izin untuk mendekripsi kunci peran dengan mengikuti langkah-langkah di. [Izin untuk mendekripsi AWS Secrets Manager rahasia untuk penyimpanan vektor yang berisi basis pengetahuan Anda](encryption-kb.md#encryption-kb-3p)
## Izin AWS untuk mengelola AWS KMS kunci untuk penyimpanan data sementara selama konsumsi data
Untuk memungkinkan pembuatan AWS KMS kunci penyimpanan data sementara dalam proses pengambilan sumber data Anda, lampirkan kebijakan berikut ke peran layanan Pangkalan Pengetahuan Amazon Bedrock Anda. Ganti*\$1\$1Region\$1*,*\$1\$1AccountId\$1*, dan *\$1\$1KeyId\$1* dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/${KeyId}"
]
}
]
}
```
------
## Izin AWS untuk mengelola sumber data dari AWS akun pengguna lain.
Untuk mengizinkan akses ke AWS akun pengguna lain, Anda harus membuat peran yang memungkinkan akses lintas akun ke bucket Amazon S3 di akun pengguna lain. Ganti*\$1\$1BucketName\$1*,*\$1\$1BucketOwnerAccountId\$1*, dan *\$1\$1BucketNameAndPrefix\$1* dengan nilai yang sesuai.
**Izin Diperlukan pada peran Basis Pengetahuan**
Peran basis pengetahuan yang diberikan selama pembuatan basis pengetahuan `createKnowledgeBase` memerlukan izin Amazon S3 berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3ListBucketStatement",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Sid": "S3GetObjectStatement",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
------
Jika bucket Amazon S3 dienkripsi menggunakan AWS KMS kunci, berikut ini juga perlu ditambahkan ke peran basis pengetahuan. Ganti *\$1\$1BucketOwnerAccountId\$1* dan *\$1\$1Region\$1* dengan nilai yang sesuai.
```
{
"Sid": "KmsDecryptStatement",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:${Region}:${BucketOwnerAccountId}:key/${KeyId}"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.${Region}.amazonaws.com"
]
}
}
}
```
**Izin diperlukan pada kebijakan bucket Amazon S3 lintas akun**
Bucket di akun lain memerlukan kebijakan bucket Amazon S3 berikut. Ganti*\$1\$1KbRoleArn\$1*,*\$1\$1BucketName\$1*, dan *\$1\$1BucketNameAndPrefix\$1* dengan nilai yang sesuai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListBucket",
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "GetObject",
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
**Izin diperlukan pada kebijakan kunci lintas akun AWS KMS **
Jika bucket Amazon S3 lintas akun dienkripsi menggunakan AWS KMS kunci di akun tersebut, kebijakan kunci tersebut memerlukan kebijakan AWS KMS berikut. Ganti *\$1\$1KbRoleArn\$1* dan *\$1\$1KmsKeyArn\$1* dengan nilai yang sesuai.
```
{
"Sid": "Example policy",
"Effect": "Allow",
"Principal": {
"AWS": [
"${KbRoleArn}"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "${KmsKeyArn}"
}
```
# Buat peran layanan untuk Amazon Bedrock Flows di Amazon Bedrock
Untuk membuat dan mengelola alur di Amazon Bedrock, Anda harus menggunakan peran layanan dengan izin yang diperlukan yang diuraikan di halaman ini. Anda dapat menggunakan peran layanan yang dibuat Amazon Bedrock secara otomatis untuk Anda di konsol atau menggunakan salah satu yang Anda sesuaikan sendiri.
**catatan**
Jika Anda menggunakan peran layanan yang dibuat Amazon Bedrock secara otomatis untuk Anda di konsol, itu akan melampirkan izin secara dinamis jika Anda menambahkan node ke alur Anda dan menyimpan alur. Namun, jika Anda menghapus node, izin tidak akan dihapus, jadi Anda harus menghapus izin yang tidak lagi Anda perlukan. Untuk mengelola izin untuk peran yang dibuat untuk Anda, ikuti langkah-langkah di [Memodifikasi peran dalam Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) Pengguna IAM.
Untuk membuat peran layanan kustom untuk Amazon Bedrock Flows, buat peran IAM dengan mengikuti langkah-langkah di [Membuat peran untuk mendelegasikan izin ke](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) layanan. AWS Kemudian lampirkan izin berikut ke peran.
+ Kebijakan kepercayaan
+ Izin berbasis identitas berikut:
+ Akses ke model dasar Amazon Bedrock yang akan digunakan aliran. Tambahkan setiap model yang digunakan dalam alur ke `Resource` daftar.
+ Jika Anda memanggil model menggunakan Provisioned Throughput, izin untuk mengakses dan memanggil model yang disediakan. Tambahkan setiap model yang digunakan dalam alur ke `Resource` daftar.
+ Jika Anda memanggil model kustom, izin untuk mengakses dan memanggil model kustom. Tambahkan setiap model yang digunakan dalam alur ke `Resource` daftar.
+ Izin berdasarkan node yang Anda tambahkan ke alur:
+ Jika Anda menyertakan node prompt yang menggunakan prompt dari manajemen Prompt, Anda memerlukan izin untuk mengakses prompt. Tambahkan setiap prompt yang digunakan dalam alur ke `Resource` daftar.
+ Jika Anda menyertakan node basis pengetahuan, Anda memerlukan izin untuk menanyakan basis pengetahuan. Tambahkan setiap basis pengetahuan yang ditanyakan dalam alur ke `Resource` daftar.
+ Jika Anda menyertakan node agen, Anda memerlukan izin untuk memanggil alias agen. Tambahkan setiap agen yang dipanggil dalam alur ke `Resource` daftar.
+ Jika Anda menyertakan node pengambilan S3, Anda memerlukan izin untuk mengakses bucket Amazon S3 dari mana data akan diambil. Tambahkan setiap bucket dari mana data diambil ke `Resource` daftar.
+ Jika Anda menyertakan node penyimpanan S3, Anda memerlukan izin untuk menulis ke bucket Amazon S3 tempat data keluaran akan disimpan. Tambahkan setiap bucket ke mana data ditulis ke `Resource` daftar.
+ Jika Anda menyertakan pagar pembatas untuk node basis pengetahuan atau simpul prompt, Anda memerlukan izin untuk menerapkan pagar pembatas dalam alur. Tambahkan setiap pagar pembatas yang digunakan dalam alur ke daftar. `Resource`
+ Jika Anda menyertakan node Lambda, Anda memerlukan izin untuk menjalankan fungsi Lambda. Tambahkan setiap fungsi Lambda yang perlu dipanggil ke daftar. `Resource`
+ Jika Anda menyertakan node Amazon Lex, Anda memerlukan izin untuk menggunakan bot Amazon Lex. Tambahkan setiap alias bot yang perlu digunakan ke `Resource` daftar.
+ Jika Anda mengenkripsi sumber daya apa pun yang dipanggil dalam alur, Anda memerlukan izin untuk mendekripsi kunci. Tambahkan setiap tombol ke `Resource` daftar.
+ Jika Anda mengenkripsi alur, Anda juga perlu melampirkan kebijakan kunci ke kunci KMS yang Anda gunakan untuk mengenkripsi alur.
**catatan**
Perubahan berikut baru-baru ini diterapkan:
Sebelumnya, AWS Lambda dan sumber daya Amazon Lex dipanggil menggunakan prinsipal layanan Amazon Bedrock. Perilaku ini berubah untuk alur yang dibuat setelah 2024-11-22 dan peran layanan Amazon Bedrock Flows akan digunakan untuk memanggil sumber daya Amazon Lex dan AmazonAWS Lambda. Jika Anda membuat alur apa pun yang menggunakan salah satu sumber daya ini sebelum 2024-11-22, Anda harus memperbarui peran layanan Amazon Bedrock Flows dengan izin Amazon AWS Lambda Lex.
Sebelumnya, sumber daya manajemen Prompt dirender menggunakan `bedrock:GetPrompt` tindakan. Perilaku ini berubah untuk alur yang dibuat setelah 2024-11-22 dan `bedrock:RenderPrompt` tindakan akan digunakan untuk merender sumber daya prompt. Jika Anda membuat alur apa pun yang menggunakan sumber daya prompt sebelum 2024-11-22, Anda harus memperbarui peran layanan Amazon Bedrock Flows dengan izin. `bedrock:RenderPrompt`
Jika Anda menggunakan peran layanan yang dibuat Amazon Bedrock secara otomatis untuk Anda di konsol, Amazon Bedrock akan melampirkan izin yang dikoreksi secara dinamis saat Anda menyimpan alur.
**Topics**
+ [Hubungan kepercayaan](#flows-permissions-trust)
+ [Izin berbasis identitas untuk peran layanan flow.](#flows-permissions-identity)
## Hubungan kepercayaan
Lampirkan kebijakan kepercayaan berikut ke peran eksekusi flow untuk memungkinkan Amazon Bedrock mengambil peran ini dan mengelola alur. Ganti *values* yang diperlukan. Kebijakan ini berisi kunci kondisi opsional (lihat [Kunci kondisi untuk Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) dan [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) di `Condition` bidang yang kami sarankan Anda gunakan sebagai praktik terbaik keamanan.
**catatan**
Sebagai praktik terbaik, ganti *\$1* dengan ID aliran setelah Anda membuatnya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FlowsTrustBedrock",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"AWS:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:flow/*"
}
}
}
]
}
```
------
## Izin berbasis identitas untuk peran layanan flow.
Lampirkan kebijakan berikut untuk memberikan izin untuk peran layanan, ganti *values* seperlunya. Kebijakan tersebut berisi pernyataan berikut. Hilangkan pernyataan jika tidak berlaku untuk kasus penggunaan Anda. Kebijakan ini berisi kunci kondisi opsional (lihat [Kunci kondisi untuk Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) dan [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) di `Condition` bidang yang kami sarankan Anda gunakan sebagai praktik terbaik keamanan.
+ Akses ke model dasar Amazon Bedrock yang akan digunakan aliran. Tambahkan setiap model yang digunakan dalam alur ke `Resource` daftar.
+ Jika Anda memanggil model menggunakan Provisioned Throughput, izin untuk mengakses dan memanggil model yang disediakan. Tambahkan setiap model yang digunakan dalam alur ke `Resource` daftar.
+ Jika Anda memanggil model kustom, izin untuk mengakses dan memanggil model kustom. Tambahkan setiap model yang digunakan dalam alur ke `Resource` daftar.
+ Izin berdasarkan node yang Anda tambahkan ke alur:
+ Jika Anda menyertakan node prompt yang menggunakan prompt dari manajemen Prompt, Anda memerlukan izin untuk mengakses prompt. Tambahkan setiap prompt yang digunakan dalam alur ke `Resource` daftar.
+ Jika Anda menyertakan node basis pengetahuan, Anda memerlukan izin untuk menanyakan basis pengetahuan. Tambahkan setiap basis pengetahuan yang ditanyakan dalam alur ke `Resource` daftar.
+ Jika Anda menyertakan node agen, Anda memerlukan izin untuk memanggil alias agen. Tambahkan setiap agen yang dipanggil dalam alur ke `Resource` daftar.
+ Jika Anda menyertakan node pengambilan S3, Anda memerlukan izin untuk mengakses bucket Amazon S3 dari mana data akan diambil. Tambahkan setiap bucket dari mana data diambil ke `Resource` daftar.
+ Jika Anda menyertakan node penyimpanan S3, Anda memerlukan izin untuk menulis ke bucket Amazon S3 tempat data keluaran akan disimpan. Tambahkan setiap bucket ke mana data ditulis ke `Resource` daftar.
+ Jika Anda menyertakan pagar pembatas untuk node basis pengetahuan atau simpul prompt, Anda memerlukan izin untuk menerapkan pagar pembatas dalam alur. Tambahkan setiap pagar pembatas yang digunakan dalam alur ke daftar. `Resource`
+ Jika Anda menyertakan node Lambda, Anda memerlukan izin untuk menjalankan fungsi Lambda. Tambahkan setiap fungsi Lambda yang perlu dipanggil ke daftar. `Resource`
+ Jika Anda menyertakan node Amazon Lex, Anda memerlukan izin untuk menggunakan bot Amazon Lex. Tambahkan setiap alias bot yang perlu digunakan ke `Resource` daftar.
+ Jika Anda mengenkripsi sumber daya apa pun yang dipanggil dalam alur, Anda memerlukan izin untuk mendekripsi kunci. Tambahkan setiap tombol ke `Resource` daftar.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InvokeModel",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/ModelId"
]
},
{
"Sid": "InvokeProvisionedThroughput",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:GetProvisionedModelThroughput"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:provisioned-model/ModelId"
]
},
{
"Sid": "InvokeCustomModel",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:GetCustomModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:custom-model/ModelId"
]
},
{
"Sid": "UsePromptFromPromptManagement",
"Effect": "Allow",
"Action": [
"bedrock:RenderPrompt"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:prompt/PromptId"
]
},
{
"Sid": "QueryKnowledgeBase",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
]
},
{
"Sid": "InvokeAgent",
"Effect": "Allow",
"Action": [
"bedrock:InvokeAgent"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:agent-alias/AgentId/AgentAliasId"
]
},
{
"Sid": "AccessS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Sid": "WriteToS3Bucket",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Sid": "GuardrailPermissions",
"Effect": "Allow",
"Action": [
"bedrock:ApplyGuardrail"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:guardrail/GuardrailId"
]
},
{
"Sid": "LambdaPermissions",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:us-east-1:123456789012:function:FunctionId"
]
},
{
"Sid": "AmazonLexPermissions",
"Effect": "Allow",
"Action": [
"lex:RecognizeUtterance"
],
"Resource": [
"arn:aws:lex:us-east-1:123456789012:bot-alias/BotId/BotAliasId"
]
},
{
"Sid": "KMSPermissions",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/KeyId"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
------
# Persyaratan peran layanan untuk pekerjaan evaluasi model
Untuk membuat pekerjaan evaluasi model, Anda harus menentukan peran layanan. Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*.
Tindakan dan sumber daya IAM yang diperlukan bergantung pada jenis pekerjaan evaluasi model yang Anda buat. Gunakan bagian berikut untuk mempelajari selengkapnya tentang tindakan Amazon Bedrock, Amazon SageMaker AI, dan Amazon S3 IAM yang diperlukan, prinsip layanan, dan sumber daya. Anda dapat memilih untuk mengenkripsi data Anda menggunakan. AWS Key Management Service
**Topics**
+ [Persyaratan peran layanan untuk pekerjaan evaluasi model otomatis](automatic-service-roles.md)
+ [Persyaratan peran layanan untuk pekerjaan evaluasi model berbasis manusia](model-eval-service-roles.md)
+ [Izin peran layanan yang diperlukan untuk membuat pekerjaan evaluasi model yang menggunakan model hakim](judge-service-roles.md)
+ [Persyaratan peran layanan untuk pekerjaan evaluasi basis pengetahuan](rag-eval-service-roles.md)
# Persyaratan peran layanan untuk pekerjaan evaluasi model otomatis
Untuk membuat pekerjaan evaluasi model otomatis, Anda harus menentukan peran layanan. Kebijakan yang Anda lampirkan memberikan Amazon Bedrock akses ke sumber daya di akun Anda, dan memungkinkan Amazon Bedrock untuk memanggil model yang dipilih atas nama Anda.
Anda juga harus melampirkan kebijakan kepercayaan yang mendefinisikan Amazon Bedrock sebagai prinsipal layanan yang digunakan. `bedrock.amazonaws.com` Masing-masing contoh kebijakan berikut menunjukkan kepada Anda tindakan IAM yang tepat yang diperlukan berdasarkan setiap layanan yang dipanggil dalam pekerjaan evaluasi model otomatis.
Untuk membuat peran layanan kustom, lihat [Membuat peran yang menggunakan kebijakan kepercayaan khusus](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) di *Panduan Pengguna IAM*.
**Tindakan IAM Amazon S3 yang diperlukan**
Contoh kebijakan berikut memberikan akses ke bucket S3 tempat hasil evaluasi model Anda disimpan, dan (opsional) akses ke kumpulan data prompt kustom yang telah Anda tentukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my_output_bucket",
"arn:aws:s3:::my_output_bucket/myfolder"
]
}
]
}
```
------
**Tindakan IAM Amazon Bedrock yang diperlukan**
Anda juga perlu membuat kebijakan yang memungkinkan Amazon Bedrock untuk memanggil model yang Anda rencanakan untuk ditentukan dalam pekerjaan evaluasi model otomatis. Untuk mempelajari lebih lanjut tentang mengelola akses ke model Amazon Bedrock, lihat[Akses model fondasi Amazon Bedrock](model-access.md). Di `"Resource"` bagian kebijakan, Anda harus menentukan setidaknya satu ARN dari model yang Anda akses juga. Untuk menggunakan model yang dienkripsi dengan kunci KMS kunci terkelola pelanggan, Anda harus menambahkan tindakan dan sumber daya IAM yang diperlukan ke kebijakan peran layanan IAM. Anda juga harus menambahkan peran layanan ke kebijakan AWS KMS kunci.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToBedrockResources",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:ListInferenceProfiles",
"bedrock:GetImportedModel",
"bedrock:GetPromptRouter",
"sagemaker:InvokeEndpoint"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*",
"arn:aws:bedrock:*:111122223333:inference-profile/*",
"arn:aws:bedrock:*:111122223333:provisioned-model/*",
"arn:aws:bedrock:*:111122223333:imported-model/*",
"arn:aws:bedrock:*:111122223333:application-inference-profile/*",
"arn:aws:bedrock:*:111122223333:default-prompt-router/*",
"arn:aws:sagemaker:*:111122223333:endpoint/*",
"arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
]
}
]
}
```
------
**Persyaratan utama layanan**
Anda juga harus menentukan kebijakan kepercayaan yang mendefinisikan Amazon Bedrock sebagai prinsipal layanan. Hal ini memungkinkan Amazon Bedrock untuk mengambil peran. Pekerjaan evaluasi model wildcard (`*`) ARN diperlukan agar Amazon Bedrock dapat membuat pekerjaan evaluasi model di akun Anda. AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:evaluation-job/*"
}
}
}]
}
```
------
# Persyaratan peran layanan untuk pekerjaan evaluasi model berbasis manusia
Untuk membuat pekerjaan evaluasi model yang menggunakan evaluator manusia, Anda harus menentukan dua peran layanan.
Daftar berikut merangkum persyaratan kebijakan IAM untuk setiap peran layanan yang diperlukan yang harus ditentukan di konsol Amazon Bedrock.
**Ringkasan persyaratan kebijakan IAM untuk peran layanan Amazon Bedrock**
+ Anda harus melampirkan kebijakan kepercayaan yang mendefinisikan Amazon Bedrock sebagai prinsipal layanan.
+ Anda harus mengizinkan Amazon Bedrock untuk memanggil model yang dipilih atas nama Anda.
+ Anda harus mengizinkan Amazon Bedrock mengakses bucket S3 yang menyimpan kumpulan data prompt Anda dan bucket S3 tempat Anda ingin hasil disimpan.
+ Anda harus mengizinkan Amazon Bedrock untuk membuat sumber daya loop manusia yang diperlukan di akun Anda.
+ (Disarankan) Gunakan `Condition` *blok* untuk menentukan akun yang dapat diakses.
+ (Opsional) Anda harus mengizinkan Amazon Bedrock untuk mendekripsi kunci KMS Anda jika Anda telah mengenkripsi bucket dataset prompt atau bucket Amazon S3 tempat Anda ingin hasilnya disimpan.
**Ringkasan persyaratan kebijakan IAM untuk peran layanan Amazon SageMaker AI**
+ Anda harus melampirkan kebijakan kepercayaan yang mendefinisikan SageMaker AI sebagai prinsip layanan.
+ Anda harus mengizinkan SageMaker AI mengakses bucket S3 yang menyimpan kumpulan data prompt Anda dan bucket S3 tempat Anda ingin hasil disimpan.
+ (Opsional) Anda harus mengizinkan SageMaker AI untuk menggunakan kunci yang dikelola pelanggan jika Anda telah mengenkripsi bucket dataset prompt atau lokasi di mana Anda menginginkan hasilnya.
Untuk membuat peran layanan kustom, lihat [Membuat peran yang menggunakan kebijakan kepercayaan khusus](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) di *Panduan Pengguna IAM*.
**Tindakan IAM Amazon S3 yang diperlukan**
Contoh kebijakan berikut memberikan akses ke bucket S3 tempat hasil evaluasi model Anda disimpan, dan akses ke kumpulan data prompt kustom yang telah Anda tentukan. Anda harus melampirkan kebijakan ini ke peran layanan SageMaker AI dan peran layanan Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::custom-prompt-dataset"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::model_evaluation_job_output"
]
}
]
}
```
------
**Tindakan IAM Amazon Bedrock yang diperlukan**
Untuk mengizinkan Amazon Bedrock menjalankan model yang ingin Anda tentukan dalam tugas evaluasi model otomatis, lampirkan kebijakan berikut ke peran layanan Amazon Bedrock. Di `"Resource"` bagian kebijakan, Anda harus menentukan setidaknya satu ARN dari model yang Anda akses juga. Untuk menggunakan model yang dienkripsi dengan kunci KMS kunci yang dikelola pelanggan, Anda harus menambahkan tindakan dan sumber daya IAM yang diperlukan ke peran layanan IAM. Anda juga harus menambahkan elemen kebijakan AWS KMS kunci yang diperlukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToBedrockResources",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:ListInferenceProfiles",
"bedrock:GetImportedModel",
"bedrock:GetPromptRouter",
"sagemaker:InvokeEndpoint"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*",
"arn:aws:bedrock:*:111122223333:inference-profile/*",
"arn:aws:bedrock:*:111122223333:provisioned-model/*",
"arn:aws:bedrock:*:111122223333:imported-model/*",
"arn:aws:bedrock:*:111122223333:application-inference-profile/*",
"arn:aws:bedrock:*:111122223333:default-prompt-router/*",
"arn:aws:sagemaker:*:111122223333:endpoint/*",
"arn:aws:bedrock:*:111122223333:marketplace/model-endpoint/all-access"
]
}
]
}
```
------
**Tindakan IAM Augmented AI Amazon yang diperlukan**
Anda juga harus membuat kebijakan yang memungkinkan Amazon Bedrock membuat sumber daya yang terkait dengan pekerjaan evaluasi model berbasis manusia. Karena Amazon Bedrock menciptakan sumber daya yang diperlukan untuk memulai pekerjaan evaluasi model, Anda harus menggunakannya`"Resource": "*"`. Anda harus melampirkan kebijakan ini ke peran layanan Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageHumanLoops",
"Effect": "Allow",
"Action": [
"sagemaker:StartHumanLoop",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:StopHumanLoop",
"sagemaker:DeleteHumanLoop"
],
"Resource": "*"
}
]
}
```
------
**Persyaratan utama layanan (Amazon Bedrock)**
Anda juga harus menentukan kebijakan kepercayaan yang mendefinisikan Amazon Bedrock sebagai prinsipal layanan. Hal ini memungkinkan Amazon Bedrock untuk mengambil peran.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:evaluation-job/*"
}
}
}
]
}
```
------
**Persyaratan utama layanan (SageMaker AI)**
Anda juga harus menentukan kebijakan kepercayaan yang mendefinisikan Amazon Bedrock sebagai prinsipal layanan. Ini memungkinkan SageMaker AI untuk mengambil peran.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSageMakerToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Izin peran layanan yang diperlukan untuk membuat pekerjaan evaluasi model yang menggunakan model hakim
Untuk membuat pekerjaan evaluasi model yang menggunakan LLM sebagai hakim, Anda harus menentukan peran layanan. Kebijakan yang Anda lampirkan memberikan Amazon Bedrock akses ke sumber daya di akun Anda, dan memungkinkan Amazon Bedrock untuk memanggil model yang dipilih atas nama Anda.
Kebijakan kepercayaan mendefinisikan Amazon Bedrock sebagai prinsip layanan yang digunakan. `bedrock.amazonaws.com` Masing-masing contoh kebijakan berikut menunjukkan kepada Anda tindakan IAM yang tepat yang diperlukan berdasarkan setiap layanan yang dipanggil dalam pekerjaan evaluasi model
Untuk membuat peran layanan kustom seperti yang dijelaskan di bawah ini, lihat [Membuat peran yang menggunakan kebijakan kepercayaan khusus](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) di *Panduan Pengguna IAM*.
## Tindakan IAM Amazon Bedrock yang diperlukan
Anda perlu membuat kebijakan yang memungkinkan Amazon Bedrock untuk memanggil model yang Anda rencanakan untuk ditentukan dalam pekerjaan evaluasi model. Untuk mempelajari lebih lanjut tentang mengelola akses ke model Amazon Bedrock, lihat[Akses model fondasi Amazon Bedrock](model-access.md). Di `"Resource"` bagian kebijakan, Anda harus menentukan setidaknya satu ARN dari model yang Anda akses juga. Untuk menggunakan model yang dienkripsi dengan kunci KMS kunci terkelola pelanggan, Anda harus menambahkan tindakan dan sumber daya IAM yang diperlukan ke kebijakan peran layanan IAM. Anda juga harus menambahkan peran layanan ke kebijakan AWS KMS kunci.
Peran layanan harus mencakup akses ke setidaknya satu model evaluator yang didukung. Untuk daftar model evaluator yang saat ini didukung, lihat[Model yang didukung](evaluation-judge.md#evaluation-judge-supported).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BedrockModelInvoke",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*",
"arn:aws:bedrock:us-east-1:111122223333:inference-profile/*",
"arn:aws:bedrock:us-east-1:111122223333:provisioned-model/*",
"arn:aws:bedrock:us-east-1:111122223333:imported-model/*"
]
}
]
}
```
------
## Tindakan dan sumber daya IAM Amazon S3 yang diperlukan
Kebijakan peran layanan Anda harus menyertakan akses ke bucket Amazon S3 tempat Anda ingin output pekerjaan evaluasi model disimpan, dan akses ke kumpulan data prompt yang telah Anda tentukan dalam `CreateEvaluationJob` permintaan atau melalui konsol Amazon Bedrock.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FetchAndUpdateOutputBucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
}
]
}
```
------
# Persyaratan peran layanan untuk pekerjaan evaluasi basis pengetahuan
Untuk membuat pekerjaan evaluasi basis pengetahuan, Anda harus menentukan peran layanan. Kebijakan yang Anda lampirkan ke peran memberikan Amazon Bedrock akses ke sumber daya di akun Anda, dan memungkinkan Amazon Bedrock untuk melakukan hal berikut:
+ Panggil model yang Anda pilih untuk pembuatan keluaran dengan aksi `RetrieveAndGenerate` API, dan evaluasi output basis pengetahuan.
+ Memanggil Basis Pengetahuan Amazon Bedrock `Retrieve` dan tindakan `RetrieveAndGenerate` API pada instance basis pengetahuan Anda.
Untuk membuat peran layanan kustom, lihat [Membuat peran yang menggunakan kebijakan kepercayaan khusus](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) di *Panduan Pengguna IAM*.
**Tindakan IAM yang diperlukan untuk akses Amazon S3**
Contoh kebijakan berikut memberikan akses ke bucket S3 di mana kedua hal berikut terjadi:
+ Anda menyimpan hasil evaluasi basis pengetahuan Anda.
+ Amazon Bedrock membaca kumpulan data masukan Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Sid": "AllowAccessToCustomDatasets",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket"
],
"Resource":
[
"arn:aws:s3:::my_customdataset1_bucket",
"arn:aws:s3:::my_customdataset1_bucket/myfolder",
"arn:aws:s3:::my_customdataset2_bucket",
"arn:aws:s3:::my_customdataset2_bucket/myfolder"
]
},
{
"Sid": "AllowAccessToOutputBucket",
"Effect": "Allow",
"Action":
[
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucketMultipartUploads"
],
"Resource":
[
"arn:aws:s3:::my_output_bucket",
"arn:aws:s3:::my_output_bucket/myfolder"
]
}
]
}
```
------
**Tindakan IAM Amazon Bedrock yang diperlukan**
Anda juga perlu membuat kebijakan yang memungkinkan Amazon Bedrock melakukan hal berikut:
1. Panggil model yang Anda rencanakan untuk ditentukan sebagai berikut:
+ Pembuatan hasil dengan aksi `RetrieveAndGenerate` API.
+ Evaluasi hasil.
Untuk `Resource` kunci dalam kebijakan, Anda harus menentukan setidaknya satu ARN dari model yang dapat Anda akses. Untuk menggunakan model yang dienkripsi dengan kunci KMS yang dikelola pelanggan, Anda harus menambahkan tindakan dan sumber daya IAM yang diperlukan ke kebijakan peran layanan IAM. Anda juga harus menambahkan peran layanan ke kebijakan AWS KMS kunci.
1. Panggil tindakan `Retrieve` dan `RetrieveAndGenerate` API. Perhatikan bahwa, dalam pembuatan peran otomatis di konsol, kami memberikan izin untuk tindakan keduanya `Retrieve` dan `RetrieveAndGenerate` API, terlepas dari tindakan yang Anda pilih untuk dievaluasi untuk pekerjaan itu. Dengan demikian, kami memberikan fleksibilitas dan penggunaan kembali tambahan untuk peran itu. Namun, untuk keamanan tambahan, peran yang dibuat secara otomatis itu terkait dengan satu instance basis pengetahuan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificModels",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:CreateModelInvocationJob",
"bedrock:StopModelInvocationJob",
"bedrock:GetProvisionedModelThroughput",
"bedrock:GetInferenceProfile",
"bedrock:GetImportedModel"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/*",
"arn:aws:bedrock:us-east-1:123456789012:inference-profile/*",
"arn:aws:bedrock:us-east-1:123456789012:provisioned-model/*",
"arn:aws:bedrock:us-east-1:123456789012:imported-model/*",
"arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/*"
]
},
{
"Sid": "AllowKnowledgeBaseAPis",
"Effect": "Allow",
"Action": [
"bedrock:Retrieve",
"bedrock:RetrieveAndGenerate"
],
"Resource": [
"arn:aws:bedrock:us-east-1:123456789012:knowledge-base/knowledge-base-id"
]
}
]
}
```
------
**Persyaratan Utama Layanan**
Anda juga harus menentukan kebijakan kepercayaan yang mendefinisikan Amazon Bedrock sebagai prinsipal layanan. Kebijakan ini memungkinkan Amazon Bedrock untuk mengambil peran tersebut. Pekerjaan evaluasi model wildcard (`*`) ARN diperlukan agar Amazon Bedrock dapat membuat pekerjaan evaluasi model di akun Anda. AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBedrockToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
}
}
}
]
}
```
------
# Konfigurasikan akses ke bucket Amazon S3
Beberapa fitur Amazon Bedrock memerlukan akses ke data yang disimpan di bucket Amazon S3. Untuk mengakses data ini, Anda harus mengonfigurasi izin berikut:
****
| Kasus penggunaan | Izin |
| --- | --- |
| Izin untuk mengambil data dari bucket S3 | s3: GetObjects3: ListBucket |
| Izin untuk menulis data ke bucket S3 | s3: PutObject |
| Izin untuk mendekripsi kunci KMS yang mengenkripsi bucket S3 | kms:Decryptkm: DescribeKey |
Identitas atau sumber daya yang Anda perlukan untuk melampirkan izin di atas bergantung pada faktor-faktor berikut:
+ Beberapa fitur di Amazon Bedrock menggunakan [peran layanan](security-iam-sr.md). Jika fitur menggunakan peran layanan, Anda harus mengonfigurasi izin sehingga peran layanan, bukan identitas IAM pengguna, memiliki akses ke data S3. Beberapa fitur Amazon Bedrock dapat secara otomatis membuat peran layanan untuk Anda dan melampirkan [izin berbasis identitas](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies.html#policies_id-based) yang diperlukan ke peran layanan, jika Anda menggunakan. Konsol Manajemen AWS
+ Beberapa fitur di Amazon Bedrock memungkinkan identitas untuk mengakses bucket S3 di akun yang berbeda. Jika data S3 perlu diakses dari akun lain, pemilik bucket harus menyertakan [izin berbasis sumber daya di atas dalam kebijakan bucket S3 yang dilampirkan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) pada [bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html).
Berikut ini menjelaskan cara menentukan di mana Anda perlu melampirkan izin yang diperlukan untuk mengakses data S3:
+ Izin identitas IAM
+ Jika Anda dapat membuat peran layanan secara otomatis di konsol, izin akan dikonfigurasi untuk peran layanan, jadi Anda tidak perlu mengonfigurasinya sendiri.
+ Jika Anda lebih suka menggunakan peran layanan kustom atau identitas yang memerlukan akses bukan peran layanan, navigasikan [Lampirkan izin ke identitas IAM untuk memungkinkannya mengakses bucket Amazon S3](#s3-bucket-access-identity) untuk mempelajari cara membuat kebijakan berbasis identitas dengan izin yang tepat.
+ Izin berbasiskan sumber daya
+ Jika identitas memerlukan akses ke data S3 di akun yang sama, Anda tidak perlu melampirkan kebijakan bucket S3 ke bucket yang berisi data.
+ Jika identitas memerlukan akses ke data S3 di akun lain, navigasikan [Lampirkan kebijakan bucket ke bucket Amazon S3 untuk mengizinkan akun lain mengaksesnya](#s3-bucket-access-cross-account) ke mempelajari cara membuat kebijakan bucket S3 dengan izin yang tepat.
**penting**
Pembuatan otomatis peran layanan di dalam Konsol Manajemen AWS melampirkan izin berbasis identitas yang tepat ke peran tersebut, tetapi Anda tetap harus mengonfigurasi kebijakan bucket S3 jika identitas yang memerlukan akses ke peran tersebut berbeda. Akun AWS
Untuk informasi selengkapnya, lihat tautan berikut:
+ Untuk mempelajari lebih lanjut tentang mengontrol akses ke data di Amazon S3, lihat [Kontrol akses di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html).
+ Untuk mempelajari lebih lanjut tentang izin Amazon S3, lihat [Tindakan yang ditentukan oleh Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-actions-as-permissions).
+ Untuk mempelajari lebih lanjut tentang AWS KMS izin, lihat [Tindakan yang ditentukan oleh AWS Key Management Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions).
Lanjutkan melalui topik yang berkaitan dengan kasus penggunaan Anda:
**Topics**
+ [Lampirkan izin ke identitas IAM untuk memungkinkannya mengakses bucket Amazon S3](#s3-bucket-access-identity)
+ [Lampirkan kebijakan bucket ke bucket Amazon S3 untuk mengizinkan akun lain mengaksesnya](#s3-bucket-access-cross-account)
+ [(Opsi keamanan lanjutan) Sertakan kondisi dalam pernyataan untuk akses yang lebih halus](#s3-bucket-access-conditions)
## Lampirkan izin ke identitas IAM untuk memungkinkannya mengakses bucket Amazon S3
Topik ini menyediakan templat untuk kebijakan untuk dilampirkan ke identitas IAM. Kebijakan ini mencakup pernyataan berikut yang menentukan izin untuk memberikan akses identitas IAM ke bucket S3:
1. Izin untuk mengambil data dari bucket S3. Pernyataan ini juga menyertakan kondisi yang menggunakan [kunci `s3:prefix` kondisi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys) untuk membatasi akses ke folder tertentu di bucket. Untuk informasi selengkapnya tentang kondisi ini, lihat bagian **Kebijakan pengguna** di [Contoh 2: Mendapatkan daftar objek dalam bucket dengan awalan tertentu](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2).
1. (Jika Anda perlu menulis data ke lokasi S3) Izin untuk menulis data ke bucket S3. Pernyataan ini juga mencakup kondisi yang menggunakan [kunci `aws:ResourceAccount` kondisi](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceaccount) untuk membatasi akses ke permintaan yang dikirim dari tertentuAkun AWS.
1. (Jika bucket S3 dienkripsi dengan kunci KMS) Izin untuk mendeskripsikan dan mendekripsi kunci KMS yang mengenkripsi bucket S3.
**catatan**
Jika bucket S3 Anda mengaktifkan versi, setiap versi objek yang Anda unggah menggunakan fitur ini dapat memiliki kunci enkripsi sendiri. Anda bertanggung jawab untuk melacak kunci enkripsi mana yang digunakan untuk versi objek mana.
Menambahkan, memodifikasi, dan menghapus pernyataan, sumber daya, dan kondisi dalam kebijakan berikut dan ganti *\$1\$1values\$1* seperlunya:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${S3Bucket}",
"arn:aws:s3:::${S3Bucket}/*"
]
},
{
"Sid": "WriteToS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${S3Bucket}",
"arn:aws:s3:::${S3Bucket}/*"
]
},
{
"Sid": "DecryptKMSKey",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${KMSKeyId}"
}
]
}
```
------
Setelah mengubah kebijakan ke kasus penggunaan Anda, lampirkan ke peran layanan (atau identitas IAM) yang memerlukan akses ke bucket S3. Untuk mempelajari cara melampirkan izin ke identitas IAM, lihat [Menambahkan dan menghapus izin identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
## Lampirkan kebijakan bucket ke bucket Amazon S3 untuk mengizinkan akun lain mengaksesnya
Topik ini menyediakan templat untuk kebijakan berbasis sumber daya untuk dilampirkan ke bucket S3 agar identitas IAM dapat mengakses data di bucket. Kebijakan ini mencakup pernyataan berikut yang menentukan izin untuk identitas untuk mengakses bucket:
1. Izin untuk mengambil data dari bucket S3.
1. (Jika Anda perlu menulis data ke lokasi S3) Izin untuk menulis data ke bucket S3.
1. (Jika bucket S3 dienkripsi dengan kunci KMS) Izin untuk mendeskripsikan dan mendekripsi kunci KMS yang mengenkripsi bucket S3.
**catatan**
Jika bucket S3 Anda mengaktifkan versi, setiap versi objek yang Anda unggah menggunakan fitur ini dapat memiliki kunci enkripsi sendiri. Anda bertanggung jawab untuk melacak kunci enkripsi mana yang digunakan untuk versi objek mana.
Izin serupa dengan izin berbasis identitas yang dijelaskan dalam. [Lampirkan izin ke identitas IAM untuk memungkinkannya mengakses bucket Amazon S3](#s3-bucket-access-identity) Namun, setiap pernyataan juga mengharuskan Anda untuk menentukan identitas untuk memberikan izin ke sumber daya di `Principal` lapangan. Tentukan identitas (dengan sebagian besar fitur di Amazon Bedrock, ini adalah peran layanan) di `Principal` lapangan. Menambahkan, memodifikasi, dan menghapus pernyataan, sumber daya, dan kondisi dalam kebijakan berikut dan ganti *\$1\$1values\$1* seperlunya:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ServiceRole"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${S3Bucket}",
"arn:aws:s3:::${S3Bucket}/*"
]
},
{
"Sid": "WriteToS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ServiceRole"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${S3Bucket}",
"arn:aws:s3:::${S3Bucket}/*"
]
},
{
"Sid": "DecryptKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ServiceRole"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${KMSKeyId}"
}
]
}
```
------
Setelah mengubah kebijakan ke kasus penggunaan Anda, lampirkan ke bucket S3. Untuk mempelajari cara melampirkan kebijakan bucket ke bucket S3, lihat [Menambahkan kebijakan bucket menggunakan konsol Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html).
## (Opsi keamanan lanjutan) Sertakan kondisi dalam pernyataan untuk akses yang lebih halus
Untuk kontrol yang lebih besar atas identitas yang dapat mengakses sumber daya Anda, Anda dapat memasukkan kondisi dalam pernyataan kebijakan. Kebijakan dalam topik ini memberikan contoh yang menggunakan kunci kondisi berikut:
+ `s3:prefix`— Kunci kondisi S3 yang membatasi akses ke folder tertentu dalam bucket S3. Untuk informasi selengkapnya tentang kunci kondisi ini, lihat bagian **Kebijakan pengguna** di [Contoh 2: Mendapatkan daftar objek dalam bucket dengan awalan tertentu](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html#condition-key-bucket-ops-2).
+ `aws:ResourceAccount`— Kunci kondisi global yang membatasi akses ke permintaan dari yang spesifikAkun AWS.
Kebijakan berikut membatasi akses baca ke *my-folder* folder di bucket *amzn-s3-demo-bucket* S3 dan membatasi akses tulis untuk bucket *amzn-s3-demo-destination-bucket* S3 ke permintaan dari ID denganAkun AWS: *111122223333*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition" : {
"StringEquals" : {
"s3:prefix": "my-folder"
}
}
},
{
"Sid": "WriteToS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
}
}
}
]
}
```
------
Untuk mempelajari selengkapnya tentang kondisi dan kunci kondisi, lihat tautan berikut:
+ Untuk mempelajari kondisi, lihat [elemen kebijakan IAM JSON: Kondisi dalam Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) Pengguna IAM.
+ Untuk mempelajari tentang kunci kondisi khusus untuk S3, lihat [Kunci kondisi untuk Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys) S3 di Referensi Otorisasi Layanan.
+ Untuk mempelajari tentang kunci kondisi global yang digunakan di seluruhLayanan AWS, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceaccount).
# Memecahkan masalah identitas dan akses Amazon Bedrock
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Amazon Bedrock dan IAM.
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di Amazon Bedrock](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya Amazon Bedrock saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan di Amazon Bedrock
Jika Anda menerima pesan kesalahan bahwa Anda tidak memiliki otorisasi untuk melakukan tindakan, kebijakan Anda harus diperbarui agar Anda dapat melakukan tindakan tersebut.
Contoh kesalahan berikut terjadi ketika pengguna IAM `mateojackson` mencoba menggunakan konsol untuk melihat detail tentang suatu sumber daya `my-example-widget` rekaan, tetapi tidak memiliki izin `bedrock:GetWidget` rekaan.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: bedrock:GetWidget on resource: my-example-widget
```
Dalam hal ini, kebijakan untuk pengguna `mateojackson` harus diperbarui untuk mengizinkan akses ke sumber daya `my-example-widget` dengan menggunakan tindakan `bedrock:GetWidget`.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan bahwa Anda tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke Amazon Bedrock.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di Amazon Bedrock. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya Amazon Bedrock saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah Amazon Bedrock mendukung fitur-fitur ini, lihat[Bagaimana Amazon Bedrock bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
# Akses lintas akun ke bucket Amazon S3 untuk pekerjaan impor model khusus
Jika Anda mengimpor model dari bucket Amazon S3 dan menggunakan Amazon S3 lintas akun, Anda harus memberikan izin kepada pengguna di akun pemilik bucket untuk mengakses bucket sebelum Anda mengimpor model yang disesuaikan. Lihat [Prasyarat untuk mengimpor model khusus](custom-model-import-prereq.md).
## Konfigurasikan akses lintas akun ke bucket Amazon S3
Bagian ini memandu Anda melalui langkah-langkah untuk membuat kebijakan bagi pengguna di akun pemilik bucket untuk mengakses bucket Amazon S3.
1. Di akun pemilik bucket, buat kebijakan bucket yang menyediakan akses ke pengguna di akun pemilik bucket.
Contoh kebijakan bucket berikut, yang dibuat dan diterapkan ke bucket `s3://amzn-s3-demo-bucket` oleh pemilik bucket, memberikan akses ke pengguna di akun `123456789123` pemilik bucket.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/ImportRole"
},
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Di pengguna Akun AWS, buat kebijakan peran eksekusi impor. Untuk `aws:ResourceAccount` menentukan id akun pemilik bucket Akun AWS.
Contoh kebijakan peran eksekusi impor berikut di akun pengguna memberikan `111222333444555` akses id akun pemilik bucket ke bucket Amazon S3. `s3://amzn-s3-demo-bucket`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
------
## Konfigurasikan akses lintas akun ke bucket Amazon S3 yang dienkripsi dengan kustom AWS KMS key
Jika Anda memiliki bucket Amazon S3 yang dienkripsi dengan kunci custom AWS Key Management Service (AWS KMS), Anda harus memberikan akses ke bucket tersebut kepada pengguna dari akun pemilik bucket.
Untuk mengonfigurasi akses lintas akun ke bucket Amazon S3 yang dienkripsi dengan kustom AWS KMS key
1. Di akun pemilik bucket, buat kebijakan bucket yang menyediakan akses ke pengguna di akun pemilik bucket.
Contoh kebijakan bucket berikut, yang dibuat dan diterapkan ke bucket `s3://amzn-s3-demo-bucket` oleh pemilik bucket, memberikan akses ke pengguna di akun `123456789123` pemilik bucket.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/ImportRole"
},
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Di akun pemilik bucket, buat kebijakan sumber daya berikut untuk mengizinkan peran impor akun pengguna mendekripsi.
```
{
"Sid": "Allow use of the key by the destination account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::"arn:aws:iam::123456789123:role/ImportRole"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
1. Di pengguna Akun AWS, buat kebijakan peran eksekusi impor. Untuk `aws:ResourceAccount` menentukan id akun pemilik bucket Akun AWS. Juga, berikan akses ke AWS KMS key yang digunakan untuk mengenkripsi ember.
Contoh kebijakan peran eksekusi impor berikut di akun pengguna memberikan `111222333444555` akses id akun pemilik bucket ke bucket `s3://amzn-s3-demo-bucket` Amazon S3 dan AWS KMS key `arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
}
]
}
```
------
# Validasi kepatuhan untuk Amazon Bedrock
Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).
# Tanggapan insiden di Amazon Bedrock
Keamanan adalah prioritas tertinggi di AWS. Sebagai bagian dari [model tanggung jawab bersama AWS](https://aws.amazon.com/compliance/shared-responsibility-model) Cloud, AWS mengelola pusat data, jaringan, dan arsitektur perangkat lunak yang memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan. AWS bertanggung jawab atas setiap respons insiden sehubungan dengan layanan Amazon Bedrock itu sendiri. Selain itu, sebagai AWS pelanggan, Anda berbagi tanggung jawab untuk menjaga keamanan di cloud. Ini berarti Anda mengontrol keamanan yang Anda pilih untuk diterapkan dari AWS alat dan fitur yang dapat Anda akses. Selain itu, Anda bertanggung jawab atas respons insiden di pihak Anda dari model tanggung jawab bersama.
Dengan menetapkan garis dasar keamanan yang memenuhi tujuan aplikasi Anda yang berjalan di cloud, Anda dapat mendeteksi penyimpangan yang dapat Anda tanggapi. Untuk membantu Anda memahami dampak respons insiden dan pilihan Anda terhadap tujuan perusahaan Anda, kami mendorong Anda untuk meninjau sumber daya berikut:
+ [AWS Panduan Respons Insiden Keamanan](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS Praktik Terbaik untuk Keamanan, Identitas, dan Kepatuhan](https://aws.amazon.com/architecture/security-identity-compliance)
+ [Perspektif Keamanan dari AWS whitepaper Cloud Adoption Framework (CAF)](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html)
[Amazon GuardDuty](https://aws.amazon.com/guardduty/) adalah layanan deteksi ancaman terkelola yang terus memantau perilaku berbahaya atau tidak sah untuk membantu pelanggan melindungi AWS akun dan beban kerja serta mengidentifikasi aktivitas mencurigakan yang berpotensi sebelum meningkat menjadi insiden. Ini memantau aktivitas seperti panggilan API yang tidak biasa atau penerapan yang berpotensi tidak sah yang menunjukkan kemungkinan kompromi akun atau sumber daya atau pengintaian oleh aktor jahat. Misalnya, Amazon GuardDuty dapat mendeteksi aktivitas mencurigakan di Amazon Bedrock APIs, seperti pengguna yang masuk dari lokasi baru dan menggunakan Amazon Bedrock untuk APIs menghapus Amazon Bedrock Guardrails, atau mengubah set bucket Amazon S3 untuk data pelatihan model.
# Ketahanan di Amazon Bedrock
Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan fail over di antara zona tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur pusat data tunggal atau multi tradisional.
Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Keamanan infrastruktur di Amazon Bedrock
Sebagai layanan terkelola, Amazon Bedrock dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Amazon Bedrock melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan principal IAM. Atau Anda bisa menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) untuk membuat kredensial keamanan sementara guna menandatangani permintaan.
# Pencegahan "confused deputy" lintas layanan
Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS menyediakan alat yang membantu Anda melindungi data untuk semua layanan dengan principal layanan yang telah diberi akses ke sumber daya di akun Anda.
Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan global dalam kebijakan sumber daya untuk membatasi izin yang diberikan Amazon Bedrock layanan lain ke sumber daya. Gunakan `aws:SourceArn` jika Anda ingin hanya satu sumber daya yang akan dikaitkan dengan akses lintas layanan. Gunakan `aws:SourceAccount` jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.
Cara paling efektif untuk melindungi dari masalah "confused deputy" adalah dengan menggunakan kunci konteks kondisi global `aws:SourceArn` dengan ARN lengkap sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks global `aws:SourceArn` dengan karakter wildcard (`*`) untuk bagian ARN yang tidak diketahui. Misalnya, `arn:aws:bedrock:*:123456789012:*`.
Jika nilai `aws:SourceArn` tidak berisi ID akun, seperti ARN bucket Amazon S3, Anda harus menggunakan kedua kunci konteks kondisi global tersebut untuk membatasi izin.
Nilai `aws:SourceArn` harus ResourceDescription.
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi `aws:SourceAccount` global `aws:SourceArn` dan di Bedrock untuk mencegah masalah wakil yang membingungkan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:111122223333:model-customization-job/*"
}
}
}
]
}
```
------
# Analisis konfigurasi dan kerentanan di Amazon Bedrock
Konfigurasi dan kontrol TI adalah tanggung jawab bersama antara AWS dan Anda, pelanggan kami. Untuk informasi selengkapnya, lihat [model tanggung jawab AWS bersama](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Deteksi penyalahgunaan Amazon Bedrock
AWS berkomitmen untuk penggunaan AI yang bertanggung jawab. Untuk membantu mencegah potensi penyalahgunaan, Amazon Bedrock menerapkan mekanisme deteksi penyalahgunaan otomatis untuk mengidentifikasi potensi pelanggaran [Kebijakan Penggunaan yang Dapat Diterima (AUP) dan Ketentuan Layanan, termasuk Kebijakan](https://aws.amazon.com/aup/) [AI yang Bertanggung Jawab](https://aws.amazon.com/machine-learning/responsible-ai/policy/) atau AUP penyedia model pihak ketiga. AWS
Mekanisme deteksi penyalahgunaan kami sepenuhnya otomatis, sehingga tidak ada tinjauan manusia terhadap, atau akses ke, input pengguna atau output model.
Deteksi penyalahgunaan otomatis meliputi:
+ **Mengkategorikan konten** — Kami menggunakan pengklasifikasi untuk mendeteksi konten berbahaya (seperti konten yang memicu kekerasan) dalam input pengguna dan keluaran model. Classifier adalah algoritma yang memproses input dan output model, dan menetapkan jenis bahaya dan tingkat kepercayaan. Kami dapat menjalankan pengklasifikasi ini pada penggunaan model kedua Titan dan pihak ketiga. Ini mungkin termasuk model yang disetel dengan baik menggunakan kustomisasi model Amazon Bedrock. Proses klasifikasi otomatis dan tidak melibatkan tinjauan manusia terhadap input pengguna atau output model.
+ **Identifikasi pola** — Kami menggunakan metrik pengklasifikasi untuk mengidentifikasi potensi pelanggaran dan perilaku berulang. Kami dapat mengkompilasi dan membagikan metrik pengklasifikasi anonim dengan penyedia model pihak ketiga. Amazon Bedrock tidak menyimpan input pengguna atau keluaran model dan tidak membagikannya dengan penyedia model pihak ketiga.
+ **Mendeteksi dan memblokir materi pelecehan seksual anak (CSAM)** - Anda bertanggung jawab atas konten yang Anda (dan pengguna akhir Anda) unggah ke Amazon Bedrock dan harus memastikan konten ini bebas dari gambar ilegal. Untuk membantu menghentikan penyebaran CSAM, Amazon Bedrock dapat menggunakan mekanisme deteksi penyalahgunaan otomatis (seperti teknologi pencocokan hash atau pengklasifikasi) untuk mendeteksi CSAM yang jelas. Jika Amazon Bedrock mendeteksi CSAM yang jelas dalam input gambar Anda, Amazon Bedrock akan memblokir permintaan dan Anda akan menerima pesan kesalahan otomatis. Amazon Bedrock juga dapat mengajukan laporan ke National Center for Missing and Exploited Children (NCMEC) atau otoritas terkait. Kami menganggap serius CSAM dan akan terus memperbarui mekanisme deteksi, pemblokiran, dan pelaporan kami. Anda mungkin diwajibkan oleh hukum yang berlaku untuk mengambil tindakan tambahan, dan Anda bertanggung jawab atas tindakan tersebut.
Setelah mekanisme deteksi penyalahgunaan otomatis kami mengidentifikasi potensi pelanggaran, kami dapat meminta informasi tentang penggunaan Amazon Bedrock oleh Anda dan kepatuhan terhadap persyaratan layanan kami atau AUP penyedia pihak ketiga. Jika Anda tidak responsif, tidak mau, atau tidak dapat mematuhi persyaratan atau kebijakan ini, AWS dapat menangguhkan akses Anda ke Amazon Bedrock. Anda juga dapat ditagih untuk pekerjaan fine-tuning yang gagal jika pengujian otomatis kami mendeteksi respons model yang tidak konsisten dengan persyaratan dan kebijakan lisensi penyedia model pihak ketiga.
Hubungi AWS Support jika Anda memiliki pertanyaan tambahan. Untuk informasi lebih lanjut, lihat [Amazon Bedrock FAQs](https://aws.amazon.com/bedrock/faqs/?refid=6f95042b-28fe-493f-8858-601fe99cea89).
# Keamanan injeksi yang cepat
Sesuai dengan [Model Tanggung Jawab AWS Bersama](https://aws.amazon.com/compliance/shared-responsibility-model/), AWS bertanggung jawab untuk mengamankan infrastruktur cloud yang mendasarinya, termasuk perangkat keras, perangkat lunak, jaringan, dan fasilitas yang menjalankan AWS layanan. Namun, pelanggan bertanggung jawab untuk mengamankan aplikasi, data, dan sumber daya mereka yang digunakan. AWS
Dalam konteks Amazon Bedrock, AWS menangani keamanan infrastruktur yang mendasarinya, termasuk pusat data fisik, jaringan, dan layanan Amazon Bedrock itu sendiri. Namun, tanggung jawab untuk pengembangan aplikasi yang aman dan mencegah kerentanan seperti injeksi cepat terletak pada pelanggan.
Prompt injection adalah masalah keamanan tingkat aplikasi, mirip dengan injeksi SQL dalam aplikasi database. Sama seperti AWS layanan seperti Amazon RDS dan Amazon Aurora menyediakan mesin database yang aman, tetapi pelanggan bertanggung jawab untuk mencegah injeksi SQL dalam aplikasi mereka. Amazon Bedrock menyediakan fondasi yang aman untuk pemrosesan bahasa alami, tetapi pelanggan harus mengambil tindakan untuk mencegah kerentanan injeksi cepat dalam kode mereka. Selain itu, AWS menyediakan dokumentasi terperinci, praktik terbaik, dan panduan tentang praktik pengkodean yang aman untuk Bedrock dan AWS layanan lainnya.
Untuk melindungi dari injeksi cepat dan kerentanan keamanan lainnya saat menggunakan Amazon Bedrock, pelanggan harus mengikuti praktik terbaik berikut:
+ **Validasi Input** - Validasi dan sanitasi semua input pengguna sebelum meneruskannya ke Amazon Bedrock API atau tokenizer. Ini termasuk menghapus atau melarikan diri dari karakter khusus dan memastikan bahwa input mematuhi format yang diharapkan.
+ **Praktik Pengkodean** Aman — Ikuti praktik pengkodean yang aman, seperti menggunakan kueri berparameter, menghindari penggabungan string untuk input, dan mempraktikkan prinsip hak istimewa paling sedikit saat memberikan akses ke sumber daya.
+ **Pengujian Keamanan** - Uji aplikasi Anda secara teratur untuk injeksi cepat dan kerentanan keamanan lainnya menggunakan teknik seperti pengujian penetrasi, analisis kode statis, dan pengujian keamanan aplikasi dinamis (DAST).
+ **Tetap Diperbarui** - Simpan SDK, pustaka, dan dependensi Amazon Bedrock Anda up-to-date dengan patch dan pembaruan keamanan terbaru. Pantau buletin AWS keamanan dan pengumuman untuk setiap pembaruan atau panduan yang relevan. AWS menyediakan dokumentasi rinci, posting blog, dan kode sampel untuk membantu pelanggan membangun aplikasi aman menggunakan Bedrock dan AWS layanan lainnya. Pelanggan harus meninjau sumber daya ini dan mengikuti praktik terbaik keamanan yang direkomendasikan untuk melindungi aplikasi mereka dari injeksi cepat dan kerentanan lainnya.
Anda dapat menggunakan Amazon Bedrock Guardrail untuk membantu melindungi dari serangan injeksi yang cepat. Untuk informasi selengkapnya, lihat [Mendeteksi serangan cepat dengan Amazon Bedrock Guardrails](guardrails-prompt-attack.md).
Saat membuat agen Amazon Bedrock, gunakan teknik berikut untuk membantu melindungi dari serangan injeksi yang cepat.
+ Kaitkan pagar pembatas dengan agen. Untuk informasi selengkapnya, lihat [Menerapkan perlindungan untuk aplikasi Anda dengan mengaitkan pagar pembatas dengan agen Anda](agents-guardrail.md).
+ Gunakan [prompt lanjutan untuk mengaktifkan prompt](https://docs.aws.amazon.com/bedrock/latest/userguide/advanced-prompts.html) pra-pemrosesan default. Setiap agen memiliki prompt pra-pemrosesan default yang dapat Anda aktifkan. Ini adalah prompt ringan yang menggunakan model pondasi untuk menentukan apakah input pengguna aman untuk diproses. Anda dapat menggunakan perilaku defaultnya atau sepenuhnya menyesuaikan prompt untuk menyertakan kategori klasifikasi lainnya. Secara opsional, Anda dapat membuat parser respons model fondasi Anda sendiri dalam [AWS Lambda](https://docs.aws.amazon.com/bedrock/latest/userguide/lambda-parser.html)fungsi untuk mengimplementasikan aturan kustom Anda sendiri.
Untuk informasi selengkapnya, lihat [Bagaimana Amazon Bedrock Agents bekerja](agents-how.md).
+ Perbarui prompt sistem dengan menggunakan fitur prompt lanjutan. Model yang lebih baru membedakan antara permintaan sistem dan pengguna. Jika Anda menggunakan perintah sistem di agen, kami sarankan Anda menentukan dengan jelas ruang lingkup apa yang dapat dan tidak dapat dilakukan agen. Juga, periksa dokumentasi penyedia model sendiri untuk panduan khusus model. Untuk mengetahui model tanpa server mana yang diminta oleh sistem pendukung Amazon Bedrock, lihat. [Parameter permintaan inferensi dan bidang respons untuk model dasar](model-parameters.md)