Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crittografia dei dati
Amazon Bedrock utilizza la crittografia per proteggere i dati a riposo e quelli in transito.
**Crittografia in transito**
All'interno AWS, tutti i dati tra reti in transito supportano la crittografia TLS 1.2.
Le richieste all’API e alla console Amazon Bedrock vengono effettuate su una connessione sicura (SSL). Passi ruoli AWS Identity and Access Management (IAM) ad Amazon Bedrock per fornire le autorizzazioni per accedere alle risorse per tuo conto per la formazione e la distribuzione.
**Crittografia dei dati inattivi**
Amazon Bedrock fornisce [Crittografia di modelli personalizzati](encryption-custom-job.md) a riposo.
## Gestione delle chiavi
Usa il AWS Key Management Service per gestire le chiavi che usi per crittografare le tue risorse. Per ulteriori informazioni, consulta [Concetti di base di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys). È possibile crittografare le seguenti risorse con una chiave KMS.
+ Tramite Amazon Bedrock
+ Processi di personalizzazione dei modelli e relativi modelli personalizzati di output: durante la creazione di lavori nella console o specificando il `customModelKmsKeyId` campo nella chiamata API. [CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)
+ Agenti: durante la creazione dell'agente nella console o specificando il `customerEncryptionKeyArn` campo nella [CreateAgent](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateAgent.html)chiamata API.
+ Lavori di inserimento di fonti di dati per le knowledge base: durante la creazione della knowledge base nella console o specificando il `kmsKeyArn` campo nella chiamata o all'[CreateDataSource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateDataSource.html)API. [UpdateDataSource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_UpdateDataSource.html)
+ Negozi vettoriali in Amazon OpenSearch Service: durante la creazione di negozi vettoriali. Per ulteriori informazioni, consulta [Creazione, pubblicazione ed eliminazione di raccolte Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-manage.html) e [Crittografia dei dati inattivi per Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html).
+ Lavori di valutazione dei modelli: quando si crea un processo di valutazione del modello nella console o si specifica un ARN chiave ` customerEncryptionKeyId` nella chiamata [CreateEvaluationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateEvaluationJob.html)API.
+ Tramite Amazon S3: per ulteriori informazioni, consulta [Utilizzo della crittografia lato server con AWS KMS chiavi (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)).
+ Dati di addestramento, convalida e output per la personalizzazione del modello
+ Origini dati per knowledge base
+ [Tramite Gestione dei segreti AWS : per ulteriori informazioni, consulta Crittografia e decrittografia segrete in Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)
+ Archivi vettoriali per modelli di terze parti
Dopo aver crittografato una risorsa, puoi trovare l’ARN della chiave KMS selezionando una risorsa e visualizzandone i **dettagli** nella console o utilizzando le seguenti chiamate API `Get`.
+ [GetModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_GetModelCustomizationJob.html)
+ [GetAgent](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_GetAgent.html)
+ [GetIngestionJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_GetIngestionJob.html)
# Crittografia di modelli personalizzati
Amazon Bedrock utilizza i dati di allenamento con l'[CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)azione o con la [console](model-customization-submit.md) per creare un modello personalizzato che è una versione ottimizzata di un modello base di Amazon Bedrock. I tuoi modelli personalizzati sono gestiti e archiviati da. AWS
Amazon Bedrock utilizza i dati di ottimizzazione forniti solo per eseguire il fine-tuning di un modello di fondazione Amazon Bedrock. Amazon Bedrock non utilizza tali dati per altri scopi, ad esempio per addestrare i modelli di fondazione. I dati di addestramento dell’utente non vengono utilizzati per addestrare i modelli base Titan né vengono distribuiti a terze parti. Anche altri dati di utilizzo, come i timestamp di utilizzo, l'account IDs registrato e altre informazioni registrate dal servizio, non vengono utilizzati per addestrare i modelli.
Nessuno dei dati di addestramento o convalida forniti per il fine-tuning viene archiviato da Amazon Bedrock dopo il completamento del processo di fine-tuning.
Si noti che i modelli ottimizzati con fine-tuning possono riprodurre alcuni dati di fine-tuning durante la generazione dei completamenti. Se l’app non deve esporre i dati di fine-tuning in alcuna forma, è necessario innanzitutto filtrare i dati riservati rispetto ai dati di addestramento. Se per errore è già stato creato un modello personalizzato con dati riservati, è possibile eliminarlo, filtrare le informazioni riservate rispetto ai dati di addestramento e quindi creare un nuovo modello.
Per crittografare i modelli personalizzati (inclusi i modelli copiati), Amazon Bedrock offre due opzioni:
1. **Chiavi di proprietà di AWS**— Per impostazione predefinita, Amazon Bedrock crittografa i modelli personalizzati con. Chiavi di proprietà di AWS Non puoi visualizzarne, gestirliChiavi di proprietà di AWS, utilizzarli o controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta la sezione [Chiavi di proprietà di AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service*.
1. **Chiavi gestite dal cliente**: è possibile scegliere di crittografare i dati con chiavi gestite dal cliente stesso. Per ulteriori informazioni in meritoAWS KMS keys, consulta [Customer managed keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *AWS Key Management ServiceDeveloper Guide*.
**Nota**
Amazon Bedrock abilita automaticamente e gratuitamente la crittografia Chiavi di proprietà di AWS a riposo. Se utilizzi una chiave gestita dal cliente, verranno AWS KMS addebitati dei costi. Per ulteriori informazioni sui prezzi, consulta [Prezzi di AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
Per ulteriori informazioni in meritoAWS KMS, consulta la [Guida per AWS Key Management Service gli sviluppatori](https://docs.aws.amazon.com/kms/latest/developerguide/).
**Topics**
+ [In che modo Amazon Bedrock utilizza le sovvenzioni in AWS KMS](#encryption-br-grants)
+ [Come creare una chiave gestita dal cliente e come collegarvi una policy della chiave](#encryption-key-policy)
+ [Autorizzazioni e policy della chiave per modelli personalizzati e copiati](#encryption-cm-statements)
+ [Monitorare le chiavi di crittografia per il servizio Amazon Bedrock](#encryption-monitor-key)
+ [Crittografia dei dati di addestramento, convalida e output](#encryption-custom-job-data)
## In che modo Amazon Bedrock utilizza le sovvenzioni in AWS KMS
Se specifichi una chiave gestita dal cliente per crittografare un modello personalizzato per un processo di personalizzazione o copia del modello, Amazon Bedrock crea una [concessione](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) KMS **primaria** associata al modello personalizzato per tuo conto inviando una richiesta a. [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)AWS KMS Questa concessione consente ad Amazon Bedrock di accedere e di utilizzare la chiave gestita dal cliente. Le sovvenzioni AWS KMS vengono utilizzate per consentire ad Amazon Bedrock di accedere a una chiave KMS nell'account di un cliente.
Amazon Bedrock richiede che la concessione utilizzi la chiave gestita dal cliente per le seguenti operazioni interne:
+ Invia [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)richieste AWS KMS a per verificare che l'ID della chiave KMS simmetrica gestita dal cliente che hai inserito durante la creazione del lavoro sia valido.
+ Invia [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)e [AWS KMSdecrittografa](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) le richieste per generare chiavi dati crittografate dalla chiave gestita dal cliente e decrittografa le chiavi dati crittografate in modo che possano essere utilizzate per crittografare gli artefatti del modello.
+ Invia [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richieste per AWS KMS creare concessioni secondarie circoscritte con un sottoinsieme delle operazioni precedenti (`DescribeKey`,,`Decrypt`), per l'esecuzione asincrona della personalizzazione del modello`GenerateDataKey`, della copia del modello o della creazione di Provisioned Throughput.
+ Amazon Bedrock specifica un ente pensionante durante la creazione delle sovvenzioni, in modo che il servizio possa inviare una richiesta. [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)
Hai pieno accesso alla tua chiave gestita dai clienti. AWS KMS Per revocare l’accesso alla concessione, segui la procedura descritta in [Ritirare e revocare le concessioni](https://docs.aws.amazon.com/kms/latest/developerguide/grant-manage.html#grant-delete) nella [Guida per gli sviluppatori di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/) oppure rimuovi l’accesso del servizio alla chiave gestita dal cliente in qualsiasi momento modificando la [policy della chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html). In tal caso, Amazon Bedrock non sarà in grado di accedere al modello personalizzato crittografato dalla chiave.
### Ciclo di vita delle concessioni primarie e secondarie per modelli personalizzati
+ **Le concessioni primarie** hanno una lunga durata e rimangono attive fino a quando i modelli personalizzati associati sono ancora in uso. Quando un modello personalizzato viene eliminato, la concessione primaria corrispondente viene automaticamente ritirata.
+ Le **concessioni secondarie** sono di breve durata. Vengono automaticamente ritirate non appena viene completata l’operazione che Amazon Bedrock esegue per conto dei clienti. Ad esempio, una volta terminato un processo di copia del modello, la concessione secondaria che ha consentito ad Amazon Bedrock di crittografare il modello personalizzato copiato viene immediatamente ritirata.
## Come creare una chiave gestita dal cliente e come collegarvi una policy della chiave
Per crittografare una AWS risorsa con una chiave creata e gestita da te, esegui i seguenti passaggi generali:
1. (Prerequisito) Assicurati che il tuo ruolo IAM disponga delle autorizzazioni per l'azione. [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)
1. Segui i passaggi indicati in [Creazione di chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) per creare una chiave gestita dal cliente utilizzando la AWS KMS console o l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione.
1. La creazione della chiave restituisce un `Arn` per la chiave che consente di eseguire le operazioni che richiedono l’utilizzo della chiave stessa, ad esempio l’[invio di un processo di personalizzazione del modello](model-customization-submit.md) o l’[esecuzione dell’inferenza del modello](inference-invoke.md).
1. Crea e collega una policy della chiave alla chiave con le autorizzazioni richieste. Per creare una politica chiave, segui i passaggi indicati nella sezione [Creazione di una politica chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) nella Guida per gli AWS Key Management Service sviluppatori.
## Autorizzazioni e policy della chiave per modelli personalizzati e copiati
Dopo aver creato una chiave KMS, è necessario collegarvi una policy della chiave. Le policy della chiave sono [policy basate sulle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) che si allegano alla chiave gestita dal cliente per controllarne l’accesso. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. È possibile modificare la policy della chiave in qualsiasi momento, ma potrebbe verificarsi un breve ritardo prima che la modifica sia disponibile in AWS KMS. Per ulteriori informazioni, consulta [Gestione dell'accesso alle chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) nella [Guida per gli sviluppatori di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/).
Le seguenti [azioni](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions) KMS vengono utilizzate per le chiavi che crittografano i modelli personalizzati e copiati:
1. [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) [— Crea una concessione per una chiave gestita dal cliente consentendo al servizio Amazon Bedrock l'accesso principale alla chiave KMS specificata tramite operazioni di concessione.](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) Per ulteriori informazioni sulle concessioni, consulta [Concessioni in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) nella [Guida per gli sviluppatori di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/).
**Nota**
Amazon Bedrock stabilisce inoltre un principale per ritiro e ritira automaticamente la concessione quando non è più necessaria.
1. [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — Fornisce i dettagli chiave gestiti dal cliente per consentire ad Amazon Bedrock di convalidare la chiave.
1. [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Fornisce i dettagli chiave gestiti dal cliente per consentire ad Amazon Bedrock di convalidare l'accesso degli utenti. Amazon Bedrock memorizza il testo criptato generato insieme al modello personalizzato in modo che sia possibile utilizzarlo come controllo di convalida aggiuntivo per gli utenti del modello personalizzato.
1. [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html): decrittografa il testo criptato memorizzato per verificare che il ruolo disponga dell’accesso appropriato alla chiave KMS che crittografa il modello personalizzato.
Come migliore pratica di sicurezza, ti consigliamo di includere la chiave [kms: ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service) condition per limitare l'accesso alla chiave del servizio Amazon Bedrock.
Sebbene alla chiave sia possibile collegare una sola policy della chiave, a quest’ultima è possibile collegare più istruzioni aggiungendole all’elenco nel campo `Statement` della policy.
Le seguenti istruzioni sono rilevanti per la crittografia di modelli personalizzati e copiati:
### Crittografare un modello
Per utilizzare la chiave gestita dal cliente per crittografare un modello personalizzato o copiato, includi la seguente istruzione in una policy della chiave per consentire la crittografia di un modello. Nel campo `Principal`, aggiungi gli account che desideri autorizzare a crittografare e decrittografare la chiave all’elenco a cui è mappato il sottocampo `AWS`. Se utilizzi la chiave di `kms:ViaService` condizione, puoi aggiungere una riga per ogni regione o *\$1* utilizzarla al posto di *\$1\$1region\$1* per consentire tutte le regioni che supportano Amazon Bedrock.
```
{
"Sid": "PermissionsEncryptDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::${account-id}:role/${role}"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.${region}.amazonaws.com"
]
}
}
}
```
### Consentire l’accesso a un modello crittografato
Per consentire l’accesso a un modello crittografato con una chiave KMS, includi la seguente istruzione in una policy della chiave per consentire la decrittografia della chiave stessa. Nel campo `Principal`, aggiungi gli account che desideri autorizzare a decrittografare la chiave all’elenco a cui è mappato il sottocampo `AWS`. Se utilizzi la chiave di `kms:ViaService` condizione, puoi aggiungere una riga per ogni regione o *\$1* utilizzarla al posto di *\$1\$1region\$1* per consentire tutte le regioni che supportano Amazon Bedrock.
```
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::${account-id}:role/${role}"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.${region}.amazonaws.com"
]
}
}
}
```
Per ulteriori informazioni sulle policy della chiave da creare, espandi la sezione corrispondente al tuo caso d’uso:
### Configurare le autorizzazioni chiave per crittografare e invocare modelli personalizzati
Se prevedi di crittografare un modello personalizzato con una chiave KMS, la policy della chiave dipenderà dal caso d’uso specifico. Espandi la sezione corrispondente al tuo caso d’uso:
#### I ruoli che personalizzano il modello e quelli che lo invocano sono gli stessi
Se i ruoli che invocano il modello personalizzato sono gli stessi che personalizzano il modello, è necessaria solo l’istruzione indicata in [Crittografare un modello](#encryption-key-policy-encrypt). Nel campo `Principal` del modello di policy seguente, aggiungi gli account che desideri autorizzare a personalizzare e invocare il modello personalizzato all’elenco a cui il sottocampo `AWS` è mappato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCustomModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCustomModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
#### I ruoli che personalizzano il modello e quelli che lo invocano sono diversi.
Se i ruoli che invocano il modello personalizzato sono diversi dal ruolo che personalizza il modello, sono necessarie le istruzioni indicate in [Crittografare un modello](#encryption-key-policy-encrypt) e [Consentire l’accesso a un modello crittografato](#encryption-key-policy-decrypt). Modifica le istruzioni nel modello di policy seguente in questo modo:
1. La prima istruzione consente la crittografia e la decrittografia della chiave. Nel campo `Principal`, aggiungi gli account che desideri autorizzare a personalizzare il modello personalizzato all’elenco a cui il sottocampo `AWS` è mappato.
1. La seconda istruzione consente solo la decrittografia della chiave. Nel campo `Principal`, aggiungi gli account che desideri autorizzare solo a invocare il modello personalizzato all’elenco a cui il sottocampo `AWS` è mappato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCustomModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCustomModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
},
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
### Configurare le autorizzazioni chiave per copiare modelli personalizzati
Quando si copia un modello di proprietà o condiviso, potrebbe essere necessario gestire fino a due policy della chiave:
#### Policy della chiave per la chiave che crittografa un modello copiato
Se prevedi di utilizzare una chiave KMS per crittografare un modello copiato, la policy della chiave dipenderà dal caso d’uso specifico. Espandi la sezione corrispondente al tuo caso d’uso:
##### I ruoli che copiano il modello e quelli che lo invocano sono gli stessi
Se i ruoli che invocano il modello copiato sono gli stessi che creano la copia del modello, è necessaria solo l’istruzione indicata in [Crittografare un modello](#encryption-key-policy-encrypt). Nel campo `Principal` del modello di policy seguente, aggiungi gli account che desideri autorizzare a personalizzare e invocare il modello copiato all’elenco a cui il sottocampo `AWS` è mappato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCopiedModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
##### I ruoli che copiano il modello e quelli che lo invocano sono diversi
Se i ruoli che invocano il modello copiato sono diversi dal ruolo che crea la copia del modello, sono necessarie le istruzioni indicate in [Crittografare un modello](#encryption-key-policy-encrypt) e [Consentire l’accesso a un modello crittografato](#encryption-key-policy-decrypt). Modifica le istruzioni nel modello di policy seguente in questo modo:
1. La prima istruzione consente la crittografia e la decrittografia della chiave. Nel campo `Principal`, aggiungi gli account che desideri autorizzare a creare il modello copiato all’elenco a cui è mappato il sottocampo `AWS`.
1. La seconda istruzione consente solo la decrittografia della chiave. Nel campo `Principal`, aggiungi gli account che desideri autorizzare solo a invocare il modello copiato all’elenco a cui il sottocampo `AWS` è mappato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsCopiedModelKey",
"Statement": [
{
"Sid": "PermissionsEncryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
},
{
"Sid": "PermissionsDecryptCopiedModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
#### Policy della chiave per chiave che crittografa il modello di origine da copiare
Se il modello di origine da copiare è crittografato con una chiave KMS, collega l’istruzione indicata in [Consentire l’accesso a un modello crittografato](#encryption-key-policy-decrypt) alla policy della chiave per la chiave che crittografa il modello di origine. Tale istruzione consente al ruolo per la copia del modello di decrittografare la chiave che crittografa il modello di origine. Nel campo `Principal` del modello di policy seguente, aggiungi gli account che desideri autorizzare a copiare il modello di origine all’elenco a cui il sottocampo `AWS` è mappato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PermissionsSourceModelKey",
"Statement": [
{
"Sid": "PermissionsDecryptModel",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Role"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Monitorare le chiavi di crittografia per il servizio Amazon Bedrock
Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue risorse Amazon Bedrock, puoi utilizzare [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) per tenere traccia delle richieste a cui Amazon Bedrock invia. AWS KMS
Di seguito è riportato un esempio di AWS CloudTrail evento per [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)monitorare le operazioni KMS chiamate da Amazon Bedrock per creare una sovvenzione primaria:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForModelCopy/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForModelCopy",
"accountId": "111122223333",
"userName": "RoleForModelCopy"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Crittografia dei dati di addestramento, convalida e output
Se si utilizza Amazon Bedrock per eseguire un processo di personalizzazione del modello, i file di input vengono archiviati nel bucket Amazon S3. Al termine del processo, Amazon Bedrock memorizza i file delle metriche di output nel bucket S3 specificato durante la creazione del lavoro e gli artefatti del modello personalizzato risultanti in un bucket S3 controllato da. AWS
I file di output sono crittografati con le configurazioni di crittografia del bucket S3. Tali file vengono crittografati con la [crittografia lato server SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) o con la [crittografia SSE-KMS AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html), in base alla configurazione del bucket S3.
# Crittografia di modelli personalizzati importati
Amazon Bedrock supporta la creazione di modelli personalizzati tramite due metodi che utilizzano entrambi lo stesso approccio di crittografia. I tuoi modelli personalizzati sono gestiti e archiviati daAWS:
+ **Processi di importazione di modelli personalizzati**: per importare modelli di fondazione open-source personalizzati (come i modelli Mistral AI o Llama).
+ **Crea un modello personalizzato**: per importare modelli Amazon Nova che hai personalizzato in SageMaker AI.
Per la crittografia dei modelli personalizzati, Amazon Bedrock offre le seguenti opzioni di personalizzazione:
+ **AWSchiavi possedute**: per impostazione predefinita, Amazon Bedrock crittografa i modelli personalizzati importati con chiavi AWS di proprietà. Non puoi visualizzare, gestire o utilizzare chiavi AWS di proprietà o controllarne l'utilizzo. Tuttavia, non è necessario intraprendere azioni o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta [Chiavi di proprietà di AWS](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#aws-owned-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service*.
+ **Chiavi gestite dal cliente (CMK)**: puoi scegliere di aggiungere un secondo livello di crittografia alle chiavi di crittografia di AWS proprietà esistenti scegliendo una chiave gestita dal cliente (CMK). È possibile creare, possedere e gestire chiavi gestite dal cliente.
Il controllo completo consente di eseguire in questo livello di crittografia le seguenti operazioni:
+ Stabilire e mantenere le policy della chiave
+ Stabilire e mantenere concessioni e policy IAM
+ Abilitare e disabilitare le policy della chiave
+ Ruotare i materiali crittografici delle chiavi
+ Aggiungere tag
+ Creare alias delle chiavi
+ Pianificare l’eliminazione di chiavi
Per ulteriori informazioni, consulta [Chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service*.
**Nota**
Per tutti i modelli personalizzati importati, Amazon Bedrock abilita automaticamente la crittografia dei dati inattivi utilizzando chiavi AWS proprietarie per proteggere i dati dei clienti senza alcun costo. Se utilizzi una chiave gestita dal cliente, verranno AWS KMS addebitati dei costi. Per ulteriori informazioni sui prezzi, consulta [Prezzi di AWS Key Management Service](https://docs.aws.amazon.com/).
## In che modo Amazon Bedrock utilizza le sovvenzioni in AWS KMS
Se per crittografare il modello importato specifichi una chiave gestita dal cliente, Amazon Bedrock crea una AWS KMS [sovvenzione](https://docs.aws.amazon.com/) **principale** associata al modello importato per tuo conto inviando una [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)richiesta aAWS KMS. Questa concessione consente ad Amazon Bedrock di accedere e di utilizzare la chiave gestita dal cliente. Le sovvenzioni AWS KMS vengono utilizzate per consentire ad Amazon Bedrock di accedere a una chiave KMS nell'account di un cliente.
Amazon Bedrock richiede che la concessione utilizzi la chiave gestita dal cliente per le seguenti operazioni interne:
+ Invia [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)richieste AWS KMS a per verificare che l'ID della chiave KMS simmetrica gestita dal cliente che hai inserito durante la creazione del lavoro sia valido.
+ Invia [GenerateDataKey](https://docs.aws.amazon.com//kms/latest/APIReference/API_GenerateDataKey.html)e [AWS KMSdecrittografa](https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html) le richieste per generare chiavi dati crittografate dalla chiave gestita dal cliente e decrittografa le chiavi dati crittografate in modo che possano essere utilizzate per crittografare gli artefatti del modello.
+ Invia [CreateGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_CreateGrant.html)richieste per AWS KMS creare concessioni secondarie circoscritte con un sottoinsieme delle operazioni precedenti (`DescribeKey`,,`Decrypt`), `GenerateDataKey` per l'esecuzione asincrona dell'importazione del modello e per l'inferenza su richiesta.
+ Amazon Bedrock specifica un ente pensionante durante la creazione delle sovvenzioni, in modo che il servizio possa inviare una richiesta. [RetireGrant](https://docs.aws.amazon.com//kms/latest/APIReference/API_RetireGrant.html)
Hai pieno accesso alla tua chiave gestita dai clienti. AWS KMS Per revocare l’accesso alla concessione, segui la procedura descritta in [Ritirare e revocare le concessioni](https://docs.aws.amazon.com//kms/latest/developerguide/grant-manage.html#grant-delete) nella *Guida per gli sviluppatori di AWS Key Management Service* oppure rimuovi l’accesso del servizio alla chiave gestita dal cliente in qualsiasi momento modificando la policy della chiave. In tal caso, Amazon Bedrock non sarà in grado di accedere al modello importato crittografato dalla chiave.
### Ciclo di vita delle concessioni primarie e secondarie per modelli importati
+ Le **concessioni primarie** hanno una lunga durata e rimangono attive fino a quando i modelli personalizzati associati sono ancora in uso. Quando un modello importato personalizzato viene eliminato, la concessione primaria corrispondente viene automaticamente ritirata.
+ Le **concessioni secondarie** sono di breve durata. Vengono automaticamente ritirate non appena viene completata l’operazione che Amazon Bedrock esegue per conto dei clienti. Ad esempio, una volta terminato il processo di importazione di un modello personalizzato, la concessione secondaria che ha consentito ad Amazon Bedrock di crittografare il modello importato personalizzato viene immediatamente ritirata.
# Utilizzo della chiave gestita dal cliente (CMK)
Se hai intenzione di utilizzare la chiave gestita dal cliente per crittografare il modello personalizzato importato, completa i seguenti passaggi:
1. Crea una chiave gestita dal cliente con AWS Key Management Service.
1. Allega una [policy basata sulle risorse](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html) con le autorizzazioni per i ruoli specificati, in modo da consentire la creazione e l’utilizzo di modelli personalizzati importati.
**Crea una chiave gestita dal cliente**
Prima, assicurati di disporre delle autorizzazioni `CreateKey`. Quindi segui i passaggi di [creazione delle chiavi](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) per creare una chiave gestita dal cliente nella AWS KMS console o nel funzionamento dell'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API. Assicurati di creare una chiave di crittografia simmetrica.
La creazione della chiave restituisce un valore `Arn` per la chiave, che è possibile utilizzare come `importedModelKmsKeyId ` durante l’importazione di un modello personalizzato con importazione di modelli personalizzati.
**Creare una policy della chiave e collegarla alla chiave gestita dal cliente**
Le policy della chiave sono [policy basate sulle risorse](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html) che alleghi alla chiave gestita dal cliente per controllarne l’accesso. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Puoi modificare la policy della chiave in qualsiasi momento, ma potrebbe verificarsi un breve ritardo prima che la modifica sia disponibile in AWS KMS. Per ulteriori informazioni, consulta [Gestione dell’accesso alle chiavi gestite dal cliente](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#managing-access) nella *Guida per gli sviluppatori di AWS Key Management Service*.
**Crittografare un modello personalizzato importato**
Per utilizzare la chiave gestita dal cliente per crittografare un modello personalizzato importato, è necessario includere le seguenti AWS KMS operazioni nella politica delle chiavi:
+ [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) [— crea una concessione per una chiave gestita dal cliente consentendo al servizio Amazon Bedrock l'accesso principale alla chiave KMS specificata tramite operazioni di concessione.](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) Per ulteriori informazioni sulle concessioni, consulta [Concessioni in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) nella *Guida per lo sviluppatore di AWS Key Management Service*.
**Nota**
Amazon Bedrock stabilisce inoltre un principale in fase di ritiro e ritira automaticamente la concessione quando non è più necessaria.
+ [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — fornisce i dettagli chiave gestiti dal cliente per consentire ad Amazon Bedrock di convalidare la chiave.
+ [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Fornisce i dettagli chiave gestiti dal cliente per consentire ad Amazon Bedrock di convalidare l'accesso degli utenti. Amazon Bedrock memorizza il testo criptato generato insieme al modello personalizzato importato, in modo che possa essere utilizzato come controllo di convalida aggiuntivo per gli utenti del modello personalizzato importato.
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) – decripta il testo criptato memorizzato per verificare che il ruolo possa accedere correttamente alla chiave che crittografa il modello personalizzato importato.
Di seguito è riportato un esempio di policy che puoi allegare a una chiave per un ruolo che utilizzerai per crittografare i modelli importati:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy for a key to encrypt an imported custom model",
"Statement": [
{
"Sid": "Permissions for model import API invocation role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
}
]
}
```
------
**Decrittografare un modello personalizzato importato**
Se stai importando un modello personalizzato che è già stato crittografato da un’altra chiave gestita dal cliente, devi aggiungere le autorizzazioni `kms:Decrypt` per lo stesso ruolo, come nella seguente policy:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy for a key that encrypted a custom imported model",
"Statement": [
{
"Sid": "Permissions for model import API invocation role",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
# Monitoraggio delle chiavi di crittografia per il servizio Amazon Bedrock
Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue risorse Amazon Bedrock, puoi utilizzare [AWS CloudTrail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) per tenere traccia delle richieste a cui Amazon Bedrock invia. AWS KMS
Di seguito è riportato un esempio di AWS CloudTrail evento per [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)monitorare AWS KMS le operazioni chiamate da Amazon Bedrock per creare una sovvenzione primaria:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForModelImport/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForModelImport",
"accountId": "111122223333",
"userName": "RoleForModelImport"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
Per collegare la seguente policy basata su risorse alla chiave KMS, segui i passaggi descritti in [Creazione di una policy](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-overview.html). La policy include due dichiarazioni.
1. Autorizzazioni per un ruolo per crittografare gli artefatti di personalizzazione del modello. Aggiunge al campo i ruoli ARNs di Model Builder personalizzati importati. `Principal`
1. Autorizzazioni per un ruolo per utilizzare il modello personalizzato importato in inferenza. ARNs Aggiunta al `Principal` campo dei ruoli utente del modello personalizzato importati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS Key Policy",
"Statement": [
{
"Sid": "Permissions for imported model builders",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*"
},
{
"Sid": "Permissions for imported model users",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/role"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
]
}
```
------
# Crittografia nell'automazione Amazon Bedrock dei dati
Amazon BedrockData Automation (BDA) utilizza la crittografia per proteggere i dati archiviati. tra cui i blueprint, i progetti e gli approfondimenti estratti archiviati dal servizio. BDA offre due opzioni per crittografare i dati:
1. AWSchiavi di proprietà: per impostazione predefinita, BDA crittografa i dati con AWS chiavi di proprietà. Non è possibile visualizzare, gestire o utilizzare chiavi AWS di proprietà o controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta le [chiavi AWS possedute](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) nella AWS Key Management Service Developer Guide.
1. Chiavi gestite dal cliente: è possibile scegliere di crittografare i dati con chiavi gestite dal cliente stesso. Per ulteriori informazioni sulle AWS KMS chiavi, consulta [Customer managed keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella AWS Key Management Service Developer Guide. BDA non supporta le chiavi gestite dal cliente da utilizzare nella console Amazon Bedrock, ma solo per le operazioni delle API.
Amazon BedrockData Automation abilita automaticamente la crittografia inattiva utilizzando chiavi AWS di proprietà senza alcun costo. Se si utilizza una chiave gestita dal cliente, vengono AWS KMS applicati dei costi. Per ulteriori informazioni sui prezzi, consulta la pagina AWS KMS [dei prezzi](https://aws.amazon.com/kms/pricing/).
## Come Amazon Bedrock utilizza le sovvenzioni in AWS KMS
Se specifichi una chiave gestita dal cliente per la crittografia del tuo BDA quando chiami invokeDataAutomation Async, il servizio crea una concessione associata alle tue risorse per tuo conto inviando una richiesta a. CreateGrant AWS KMS Questa concessione consente a BDA di accedere e utilizzare la chiave gestita dal cliente.
BDA utilizza la concessione della chiave gestita dal cliente per le seguenti operazioni interne:
+ DescribeKey — Invia richieste AWS KMS a per verificare che l'ID della AWS KMS chiave simmetrica gestita dal cliente che hai fornito sia valido.
+ GenerateDataKey e decrittografa: invia richieste AWS KMS per generare chiavi dati crittografate dalla chiave gestita dal cliente e decrittografa le chiavi dati crittografate in modo che possano essere utilizzate per crittografare le risorse.
+ CreateGrant — Invia richieste per AWS KMS creare concessioni circoscritte con un sottoinsieme delle operazioni precedenti (DescribeKey, Decrypt) GenerateDataKey, per l'esecuzione asincrona delle operazioni.
Hai pieno accesso alla tua chiave gestita dai clienti. AWS KMS Per revocare l’accesso alla concessione, seguire la procedura in Ritiro e revoca delle concessioni nella Guida per sviluppatori di AWS KMS o rimuovere l’accesso del servizio alla chiave gestita dal cliente in qualsiasi momento modificando la policy della chiave. In tal caso, BDA non sarà in grado di accedere alle risorse crittografate dalla chiave del cliente.
Se si avvia una nuova chiamata invokeDataAutomation Async dopo aver revocato una concessione, BDA ricreerà la concessione. Le concessioni vengono ritirate da BDA dopo 30 ore.
## Creazione di una chiave gestita dal cliente e collegamento di una policy della chiave
Per crittografare le risorse di BDA con una chiave creata e gestita dal cliente, seguire la seguente procedura generale:
1. (Prerequisito) Assicurati che il tuo ruolo IAM disponga delle autorizzazioni per l'azione. CreateKey
1. Segui i passaggi indicati in [Creazione di chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) per creare una chiave gestita dal cliente utilizzando la AWS KMS console o l' CreateKey operazione.
1. La creazione della chiave restituisce un ARN che è possibile utilizzare per operazioni che richiedono l'utilizzo della chiave (ad esempio, quando si crea un progetto o un blueprint in BDA), come l'operazione Async. invokeDataAutomation
1. Crea e collega una policy della chiave alla chiave con le autorizzazioni richieste. Per creare una policy chiave, segui la procedura descritta in [Creazione di una policy chiave nella Developer Guide](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-create.html). AWS KMS
## Autorizzazioni e politiche chiave per le risorse di Amazon Bedrock Data Automation
Dopo aver creato una AWS KMS chiave, le si allega una policy chiave. Per le chiavi che crittografano le risorse di BDA vengono utilizzate le seguenti azioni di AWS KMS:
1. kms:CreateGrant — Crea una concessione per una chiave gestita dal cliente consentendo al servizio BDA di accedere alla AWS KMS chiave specificata tramite le operazioni di concessione, necessarie per InvokeDataAutomationAsync.
1. kms:DescribeKey — Fornisce i dettagli chiave gestiti dal cliente per consentire a BDA di convalidare la chiave.
1. kms:GenerateDataKey — Fornisce i dettagli chiave gestiti dal cliente per consentire a BDA di convalidare l'accesso degli utenti.
1. kms:Decrittografa: decrittografa il testo cifrato archiviato per verificare che il ruolo abbia accesso corretto alla chiave che crittografa le risorse BDA. AWS KMS
**Policy della chiave per Amazon Bedrock Data Automation**
Per utilizzare la chiave gestita dal cliente per crittografare le risorse di BDA, includere le seguenti dichiarazioni nella policy della chiave e sostituire `${account-id}`, `${region}` e `${key-id}` con valori specifici:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "KMS key policy for a key to encrypt data for BDA resource",
"Statement": [
{
"Sid": "Permissions for encryption of data for BDA resources",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/Role"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
**Autorizzazioni per i ruoli IAM**
Il ruolo IAM utilizzato per interagire con BDA AWS KMS deve disporre delle seguenti autorizzazioni `${region}``${account-id}`, sostituibili e `${key-id}` con i tuoi valori specifici:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringLike": {
"kms:ViaService": [
"bedrock.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Contesto di crittografia di Amazon Bedrock Automation
BDA utilizza lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche, in cui si trova la chiave `aws:bedrock:data-automation-customer-account-id` e il valore è l'ID dell'account. AWS Di seguito è riportato un esempio del contesto di crittografia.
```
"encryptionContext": {
"bedrock:data-automation-customer-account-id": "account id"
}
```
**Utilizzo del contesto di crittografia per il monitoraggio**
Quando viene utilizzata una chiave simmetrica gestita dal cliente per crittografare i dati dell’area di lavoro, è possibile utilizzare il contesto di crittografia anche nei record e nei log di audit per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia appare anche nei log generati da AWS CloudTrail o Amazon CloudWatch Logs.
**Utilizzo del contesto di crittografia per controllare l’accesso alla chiave gestita dal cliente**
È possibile utilizzare il contesto di crittografia nelle policy delle chiavi e nelle policy IAM come condizioni per controllare l’accesso alla chiave simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione. BDA utilizza un vincolo del contesto di crittografia nelle concessioni per controllare l’accesso alla chiave gestita dal cliente nell’account o nella Regione. Il vincolo della concessione richiede che le operazioni consentite dalla concessione utilizzino il contesto di crittografia specificato.
Di seguito sono riportati alcuni esempi di istruzioni delle policy della chiave per concedere l’accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. Questa istruzione della policy impone come condizione che le concessioni abbiano un vincolo che specifica il contesto di crittografia.
```
[
{
"Sid": "Enable DescribeKey, Decrypt, GenerateDataKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleRole"
},
"Action": ["kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:bedrock:data-automation-customer-account-id": "111122223333"
},
"StringEquals": {
"kms:GrantOperations": ["Decrypt", "DescribeKey", "GenerateDataKey"]
}
}
}
]
```
## Monitoraggio delle chiavi di crittografia per Data Automation Amazon Bedrock
Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue risorse di Amazon Bedrock Data Automation, puoi utilizzare [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)o [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)tenere traccia delle richieste inviate da Amazon Bedrock Data AutomationAWS KMS. Di seguito è riportato un esempio di AWS CloudTrail evento per [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)monitorare AWS KMS le operazioni richiamate da Amazon Bedrock Data Automation per creare una concessione primaria:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
"arn": "arn:aws:sts::111122223333:assumed-role/RoleForDataAutomation/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/RoleForDataAutomation",
"accountId": "111122223333",
"userName": "RoleForDataAutomation"
},
"attributes": {
"creationDate": "2024-05-07T21:46:28Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "bedrock.amazonaws.com"
},
"eventTime": "2024-05-07T21:49:44Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "bedrock.amazonaws.com",
"userAgent": "bedrock.amazonaws.com",
"requestParameters": {
"granteePrincipal": "bedrock.amazonaws.com",
"retiringPrincipal": "bedrock.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"constraints": {
"encryptionContextSubset": {
"aws:bedrock:data-automation-customer-account-id": "000000000000"
}
},
"operations": [
"Decrypt",
"CreateGrant",
"GenerateDataKey",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Crittografia delle risorse dell'agente
La crittografia predefinita dei dati a riposo aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili. Allo stesso tempo, consente di creare applicazioni sicure che soddisfano i rigorosi requisiti normativi e di conformità alla crittografia.
Amazon Bedrock utilizza chiavi di proprietà di AWS predefinite per crittografare automaticamente le informazioni degli agenti, tra cui i dati del piano di controllo (control-plane) e i dati della sessione. Non è possibile visualizzare o gestire le chiavi di proprietà di AWS o verificarne l’utilizzo. Per ulteriori informazioni, consulta [Chiavi di proprietà di AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk).
Sebbene non sia consentito disabilitare questo livello di crittografia, è possibile crittografare le informazioni degli agenti utilizzando chiavi gestite dal cliente anziché chiavi di proprietà di AWS. Amazon Bedrock supporta l’utilizzo di chiavi simmetriche gestite dal cliente (CMK), che puoi creare, possedere e gestire, al posto della crittografia predefinita di proprietà di AWS. Per ulteriori informazioni, consulta [Chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
**Importante**
Amazon Bedrock crittografa automaticamente le informazioni sulla sessione dell’agente utilizzando chiavi di proprietà di AWS senza alcun costo.
AWS KMS prevede l’addebito di costi per l’utilizzo di chiavi gestite dal cliente. Per informazioni sui prezzi, consulta [Prezzi di AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
Se hai creato l’agente *prima* del 22 gennaio 2025 e desideri utilizzare la chiave gestita dal cliente per crittografare le risorse degli agenti, segui le istruzioni fornite in [Crittografia delle risorse degli agenti per gli agenti creati prima del 22 gennaio 2025](encryption-agents.md).
# Crittografia delle risorse degli agenti con chiavi gestite dal cliente (CMK)
Puoi creare in qualsiasi momento una chiave gestita dal cliente per crittografare le informazioni di un agente utilizzando le seguenti informazioni fornite durante la creazione dell’agente.
**Nota**
Le seguenti risorse per gli agenti vengono crittografate solo per gli agenti creati dopo il 22 gennaio 2025.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/bedrock/latest/userguide/cmk-agent-resources.html)
Per utilizzare una chiave gestita dal cliente, attieniti alla seguente procedura:
1. Crea una chiave gestita dal cliente con il AWS Key Management Service.
1. Creare una policy della chiave e collegarla alla chiave gestita dal cliente
## Creazione di una chiave gestita dal cliente
È possibile creare una chiave simmetrica gestita dal cliente utilizzando la console di AWS gestione o il. AWS Key Management Service APIs
Assicurati innanzitutto di disporre di autorizzazioni `CreateKey`, quindi segui la procedura per la [creazione di una chiave gestita dal cliente simmetrica](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
**Policy della chiave**: le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, è possibile specificare una policy della chiave. Per ulteriori informazioni, consulta [Gestione dell’accesso alle chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
Se hai creato il tuo agente dopo il 22 gennaio 2025 e desideri utilizzare la chiave gestita dal cliente per crittografare le informazioni del tuo agente, assicurati che l’utente o il ruolo che chiama le operazioni dell’API dell’agente disponga delle seguenti autorizzazioni nella policy della chiave:
+ [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — restituisce una chiave dati simmetrica unica da utilizzare al di fuori di KMS. AWS
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html): decrittografa il testo criptato che è stato crittografato da una chiave KMS.
La creazione della chiave restituisce un `Arn` per la chiave che puoi utilizzare come `customerEncryptionKeyArn`, durante la creazione del tuo agente.
## Creare una policy della chiave e collegarla alla chiave gestita dal cliente
Se crittografi le risorse degli agenti con una chiave gestita dal cliente, devi configurare una policy basata su identità e una policy basata su risorse, per consentire ad Amazon Bedrock di crittografare e decrittografare le risorse degli agenti per tuo conto.
**Politica basata sull'identità**
Allega la seguente policy basata sull'identità a un ruolo o utente IAM con le autorizzazioni per effettuare chiamate a un agente APIs che crittografa e decrittografa le risorse dell'agente per tuo conto. Questa policy verifica che l'utente che effettua la chiamata API disponga delle autorizzazioni. AWS KMS Sostituisci `${region}`, `${account-id}`, `${agent-id}` e `${key-id}` con i valori appropriati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptAgents",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
**Politica basata sulle risorse**
Allega la seguente politica basata sulle risorse alla tua AWS KMS chiave *solo* se stai creando gruppi di azioni in cui lo schema in Amazon S3 è crittografato. Non è necessario collegare una policy basata su risorse per altri casi d’uso.
Per collegare la seguente policy basata su risorse, modifica l’ambito delle autorizzazioni secondo necessità e sostituisci `${region}`, `${account-id}`, `${agent-id}` e `${key-id}` con i valori appropriati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}"
},
{
"Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/${agent-id}"
}
}
}
]
}
```
------
## Modifica della chiave gestita dal cliente
Gli agenti Amazon Bedrock non supportano la ricrittografia degli agenti con versione quando la chiave gestita dal cliente associata all'agente *DRAFT* viene modificata o quando si passa dalla chiave gestita dal cliente alla AWS chiave di proprietà. Solo i dati della risorsa *DRAFT* vengono nuovamente crittografati con la nuova chiave.
Assicurati di non eliminare o rimuovere le autorizzazioni per alcuna chiave per un agente con versione se lo utilizzi per fornire dati di produzione.
Per visualizzare e verificare le chiavi utilizzate da una versione, chiama [GetAgentVersion](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_GetAgentVersion.html)e controllala `customerEncryptionKeyArn` nella risposta.
# Crittografia delle sessioni degli agenti con la chiave gestita dal cliente (CMK)
Se hai abilitato la memoria per il tuo agente e crittografi le relative sessioni con una chiave gestita dal cliente, per configurare tale chiave devi configurare la seguente policy della chiave e le autorizzazioni IAM per l’identità chiamante.
**Policy della chiave gestita dal cliente**
Amazon Bedrock utilizza queste autorizzazioni per generare chiavi dei dati crittografati che quindi utilizza per crittografare la memoria degli agenti. Amazon Bedrock necessita inoltre delle autorizzazioni per crittografare nuovamente la chiave dati generata con contesti di crittografia differenti. Le autorizzazioni per la ripetizione della crittografia vengono utilizzate anche quando la chiave gestita dal cliente viene trasferita a un’altra chiave gestita dal cliente o a una chiave di proprietà del servizio. Per ulteriori informazioni, consulta [Portachiavi gerarchici](https://docs.aws.amazon.com//database-encryption-sdk/latest/devguide/use-hierarchical-keyring.html).
Sostituisci `$region`, `account-id` e `${caller-identity-role}` con i valori appropriati.
```
{
"Version": "2012-10-17",
{
"Sid": "Allow access for bedrock to enable long term memory",
"Effect": "Allow",
"Principal": {
"Service": [
"bedrock.amazonaws.com",
],
},
"Action": [
"kms:GenerateDataKeyWithoutPlainText",
"kms:ReEncrypt*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "$account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:bedrock:$region:$account-id:agent-alias/*"
}
}
"Resource": "*"
},
{
"Sid": "Allow the caller identity control plane permissions for long term memory",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}"
},
"Action": [
"kms:GenerateDataKeyWithoutPlainText",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*"
}
}
},
{
"Sid": "Allow the caller identity data plane permissions to decrypt long term memory",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*",
"kms:ViaService": "bedrock.$region.amazonaws.com"
}
}
}
}
```
**Autorizzazioni IAM per crittografare e decrittografare la memoria degli agenti**
Le seguenti autorizzazioni IAM sono necessarie per consentire all’identità che chiama l’API Agent di configurare la chiave KMS per gli agenti con memoria abilitata. Gli agenti di Amazon Bedrock utilizzano queste autorizzazioni per assicurarsi che l'identità del chiamante sia autorizzata a disporre delle autorizzazioni menzionate nella politica chiave di cui sopra per gestire, APIs addestrare e distribuire modelli. Per gli agenti APIs that invoke, l'agente Amazon Bedrock utilizza le `kms:Decrypt` autorizzazioni dell'identità del chiamante per decrittografare la memoria.
Sostituisci `$region`, `account-id` e `${key-id}` con i valori appropriati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AgentsControlPlaneLongTermMemory",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKeyWithoutPlaintext",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent-alias/*"
}
}
},
{
"Sid": "AgentsDataPlaneLongTermMemory",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent-alias/*"
}
}
}
]
}
```
------
# Best practice relative alla sicurezza preventiva per gli agenti
Le best practice per Amazon Bedrock indicate di seguito contribuiscono a prevenire gli incidenti di sicurezza.
**Usa connessioni sicure**
Per proteggere le informazioni sensibili in transito, utilizza sempre connessioni crittografate, come quelle che iniziano con `https://`.
**Implementazione dell’accesso alle risorse con privilegi minimi**
Quando crei policy personalizzate per le risorse Amazon Bedrock, concedi solo le autorizzazioni richieste per eseguire un’attività. È consigliabile iniziare con un set di autorizzazioni minimo e concederne altre aggiuntive quando necessario. L’implementazione dell’accesso con privilegio minimo è fondamentale per ridurre i rischi relativi alla sicurezza e l’impatto risultante da errori o attacchi dannosi. Per ulteriori informazioni, consulta [Identity and Access Management per Amazon Bedrock](security-iam.md).
**Esclusione di informazioni di identificazione personale dalle risorse degli agenti che contengono dati dei clienti**
Durante la creazione, l'aggiornamento e l'eliminazione delle risorse degli agenti (ad esempio, durante l'utilizzo [CreateAgent](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent_CreateAgent.html)), non includete informazioni di identificazione personale (PII) nei campi che non supportano l'uso di chiavi gestite dal cliente, come i nomi dei gruppi di azioni e i nomi della knowledge base. Per l’elenco dei campi che supportano l’utilizzo della chiave gestita dal cliente, consulta [Crittografia delle risorse degli agenti con chiavi gestite dal cliente (CMK)](cmk-agent-resources.md).
# Crittografia delle risorse degli agenti per gli agenti creati prima del 22 gennaio 2025
**Importante**
Se hai creato il tuo agente *dopo* il 22 gennaio 2025, segui le istruzioni fornite in [Crittografia delle risorse dell'agente](encryption-agents-new.md).
Amazon Bedrock crittografa le informazioni sulla sessione del tuo agente. Per impostazione predefinita, Amazon Bedrock crittografa questi dati utilizzando una chiave AWS gestita. Facoltativamente, puoi crittografare gli artefatti dell'agente utilizzando una chiave gestita dal cliente.
Per ulteriori informazioni in meritoAWS KMS keys, consulta [Customer managed keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *AWS Key Management ServiceDeveloper* Guide.
Se crittografi le sessioni con l’agente con una chiave KMS personalizzata, devi configurare la policy basata sull’identità e la policy basata sulle risorse indicate di seguito per consentire ad Amazon Bedrock di crittografare e decrittografare le risorse degli agenti per tuo conto.
1. Allega la seguente policy basata sull'identità a un utente o ruolo IAM con autorizzazioni per effettuare chiamate `InvokeAgent`. Questa policy verifica che l'utente che effettua una chiamata `InvokeAgent` disponga delle autorizzazioni KMS. Sostituisci *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1agent-id\$1* e *\$1\$1key-id\$1* con i valori appropriati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptDecryptAgents",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/agent-id"
}
}
}
]
}
```
------
1. Allega la seguente policy basata sulle risorse alla chiave KMS. Modifica l’ambito delle autorizzazioni, se necessario. Sostituisci *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1agent-id\$1* e *\$1\$1key-id\$1* con i valori appropriati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRootModifyKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
},
{
"Sid": "AllowBedrockEncryptAgent",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/AgentId"
}
}
},
{
"Sid": "AllowRoleEncryptAgent",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/Role"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
},
{
"Sid": "AllowAttachmentPersistentResources",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
]
}
```
------
# Crittografia delle risorse Amazon Bedrock Flows
Amazon Bedrock esegue la crittografia dei dati a riposo. Per impostazione predefinita, Amazon Bedrock crittografa questi dati utilizzando una chiave gestita da AWS. Facoltativamente, puoi crittografare i dati utilizzando una chiave gestita dal cliente.
Per ulteriori informazioniAWS KMS keys, consulta [Customer managed keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *AWS Key Management ServiceDeveloper Guide*.
Se crittografi i dati con una chiave KMS personalizzata, devi configurare le seguenti policy, basata sull’identità e basata sulle risorse, per consentire ad Amazon Bedrock di crittografare e decrittografare i dati per tuo conto.
1. Allega la seguente policy basata sull’identità a un ruolo IAM o a un utente con autorizzazioni per effettuare chiamate API di Amazon Bedrock Flows. Questa policy verifica che l’utente che effettua chiamate Amazon Bedrock Flows disponga delle autorizzazioni KMS. Sostituisci *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1flow-id\$1* e *\$1\$1key-id\$1* con i valori appropriati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptFlow",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/${flow-id}",
"kms:ViaService": "bedrock.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
1. Allega la seguente policy basata sulle risorse alla chiave KMS. Modifica l’ambito delle autorizzazioni, se necessario. Sostituisci *\$1IAM-USER/ROLE-ARN\$1**\$1\$1region\$1*,*\$1\$1account-id\$1*,*\$1\$1flow-id\$1*, e *\$1\$1key-id\$1* con i valori appropriati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRootModifyKMSId",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId"
},
{
"Sid": "AllowRoleUseKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/RoleName"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/FlowId",
"kms:ViaService": "bedrock.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
1. Per le [esecuzioni del flusso](flows-create-async.md), allega la seguente policy basata sull’identità a un [ruolo di servizio con autorizzazioni per creare e gestire i flussi](flows-permissions.md). Questa politica verifica che il ruolo di servizio dell'utente disponga delle AWS KMS autorizzazioni. Sostituisci *region*, *account-id*, *flow-id* e *key-id* con i valori appropriati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EncryptionFlows",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/flow-id",
"kms:ViaService": "bedrock.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
# Crittografia delle risorse della knowledge base
Amazon Bedrock crittografa le risorse relative alle tue knowledge base. Per impostazione predefinita, Amazon Bedrock crittografa questi dati utilizzando una chiave AWS di proprietà. Facoltativamente, puoi crittografare gli artefatti dei modelli utilizzando una chiave gestita dal cliente.
La crittografia con una chiave KMS può avvenire con i seguenti processi:
+ Archiviazione di dati temporanea durante l'acquisizione delle origini dati
+ Trasmissione di informazioni al OpenSearch Servizio se consenti ad Amazon Bedrock di configurare il tuo database vettoriale
+ Interrogazione di una knowledge base
Le seguenti risorse utilizzate dalle tue knowledge base possono essere crittografate con una chiave KMS. Se le crittografi, devi aggiungere le autorizzazioni per decrittografare la chiave KMS.
+ Origini dati archiviate in un bucket Amazon S3
+ Archivi vettoriali di terze parti
Per ulteriori informazioni in merito AWS KMS keys, consulta [Customer managed keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *AWS Key Management Service Developer* Guide.
**Nota**
Knowledge Base di Amazon Bedrock utilizza la crittografia TLS per la comunicazione con i connettori di origine dati di terze parti e archivi vettoriali in cui il provider consente e supporta la crittografia TLS in transito.
**Topics**
+ [Crittografia dell'archiviazione di dati transitoria durante l'importazione dei dati](#encryption-kb-ingestion)
+ [Crittografia delle informazioni trasmesse ad Amazon OpenSearch Service](#encryption-kb-oss)
+ [Crittografia delle informazioni passate ad Amazon S3 Vectors](#encryption-kb-s3-vector)
+ [Crittografia del recupero della knowledge base](#encryption-kb-runtime)
+ [Autorizzazioni per decrittografare la AWS KMS chiave per le fonti di dati in Amazon S3](#encryption-kb-ds)
+ [Autorizzazioni per decrittografare un Gestione dei segreti AWS segreto per il vector store contenente la tua knowledge base](#encryption-kb-3p)
+ [Autorizzazioni per Bedrock Data Automation (BDA) con crittografia AWS KMS](#encryption-kb-bda)
## Crittografia dell'archiviazione di dati transitoria durante l'importazione dei dati
Quando configuri un processo di importazione dei dati per la tua knowledge base, puoi crittografare il processo con una chiave KMS personalizzata.
Per consentire la creazione di una AWS KMS chiave per l'archiviazione temporanea dei dati durante il processo di acquisizione della fonte di dati, allega la seguente policy al tuo ruolo di servizio Amazon Bedrock. Sostituisci i valori di esempio con la tua AWS regione, l'ID dell'account e l'ID della chiave. AWS KMS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
## Crittografia delle informazioni trasmesse ad Amazon OpenSearch Service
Se decidi di consentire ad Amazon Bedrock di creare un archivio vettoriale in Amazon OpenSearch Service per la tua knowledge base, Amazon Bedrock può passare una chiave KMS da te scelta ad Amazon OpenSearch Service per la crittografia. Per ulteriori informazioni sulla crittografia in Amazon OpenSearch Service, consulta [Encryption in Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html).
## Crittografia delle informazioni passate ad Amazon S3 Vectors
Se decidi di consentire ad Amazon Bedrock di creare un bucket vettoriale S3 e un indice vettoriale in Amazon S3 Vectors per la tua knowledge base, Amazon Bedrock può passare una chiave KMS di tua scelta ad Amazon S3 Vectors per la crittografia. Per ulteriori informazioni sulla crittografia in Amazon S3 Vectors, consulta [Crittografia con Amazon S3 Vectors](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-vectors-bucket-encryption.html).
## Crittografia del recupero della knowledge base
Puoi crittografare le sessioni in cui si generano risposte interrogando una knowledge base con una chiave KMS. A tale scopo, includi l'ARN di una chiave KMS nel `kmsKeyArn` campo quando effettui una richiesta. [RetrieveAndGenerate](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) Allega la seguente politica, sostituendo i valori di esempio con la tua AWS regione, ID account e ID AWS KMS chiave per consentire ad Amazon Bedrock di crittografare il contesto della sessione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
## Autorizzazioni per decrittografare la AWS KMS chiave per le fonti di dati in Amazon S3
Le origini dati per la knowledge base devono essere archiviate nel bucket Amazon S3. Per crittografare questi documenti a riposo, puoi utilizzare l'opzione di crittografia lato server SSE-S3 di Amazon S3. Con questa opzione, gli oggetti vengono crittografati con chiavi di servizio gestite dal servizio Amazon S3.
Per ulteriori informazioni, consulta [Protezione dei dati mediante la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
Se hai crittografato le tue fonti di dati in Amazon S3 con una AWS KMS chiave personalizzata, allega la seguente policy al tuo ruolo di servizio Amazon Bedrock per consentire ad Amazon Bedrock di decrittografare la tua chiave. Sostituisci i valori di esempio con la tua AWS regione, l'ID dell'account e l'ID della chiave. AWS KMS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"KMS:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## Autorizzazioni per decrittografare un Gestione dei segreti AWS segreto per il vector store contenente la tua knowledge base
[Se l'archivio vettoriale contenente la Knowledge Base è configurato con un Gestione dei segreti AWS segreto, è possibile crittografare il segreto con una AWS KMS chiave personalizzata seguendo la procedura descritta in Crittografia e decrittografia segrete in. Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)
In questo caso, allega la seguente policy al ruolo di servizio Amazon Bedrock affinché possa decrittare la chiave. Sostituisci i valori di esempio con la tua AWS regione, l'ID dell'account e l'ID della chiave. AWS KMS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
## Autorizzazioni per Bedrock Data Automation (BDA) con crittografia AWS KMS
Quando si utilizza BDA per elaborare contenuti multimodali con AWS KMS chiavi gestite dal cliente, sono necessarie autorizzazioni aggiuntive oltre alle autorizzazioni standard. AWS KMS
Allega la seguente policy al tuo ruolo di servizio Amazon Bedrock per consentire a BDA di lavorare con file multimediali crittografati. Sostituisci i valori di esempio con la tua AWS regione, l'ID dell'account e l'ID della AWS KMS chiave.
```
{
"Sid": "KmsPermissionStatementForBDA",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "account-id",
"kms:ViaService": "bedrock.region.amazonaws.com"
}
}
}
```
Le autorizzazioni specifiche del BDA includono `kms:DescribeKey` le `kms:CreateGrant` azioni necessarie a BDA per elaborare file audio, video e immagini crittografati.