Crittografia di modelli personalizzati importati - Amazon Bedrock
In che modo Amazon Bedrock utilizza le sovvenzioni in AWS KMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia di modelli personalizzati importati

Amazon Bedrock supporta la creazione di modelli personalizzati tramite due metodi che utilizzano entrambi lo stesso approccio di crittografia. I tuoi modelli personalizzati sono gestiti e archiviati daAWS:

  • Processi di importazione di modelli personalizzati: per importare modelli di fondazione open-source personalizzati (come i modelli Mistral AI o Llama).

  • Crea un modello personalizzato: per importare modelli Amazon Nova che hai personalizzato in SageMaker AI.

Per la crittografia dei modelli personalizzati, Amazon Bedrock offre le seguenti opzioni di personalizzazione:

  • AWSchiavi possedute: per impostazione predefinita, Amazon Bedrock crittografa i modelli personalizzati importati con chiavi AWS di proprietà. Non puoi visualizzare, gestire o utilizzare chiavi AWS di proprietà o controllarne l'utilizzo. Tuttavia, non è necessario intraprendere azioni o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta Chiavi di proprietà di AWS nella Guida per gli sviluppatori di AWS Key Management Service.

  • Chiavi gestite dal cliente (CMK): puoi scegliere di aggiungere un secondo livello di crittografia alle chiavi di crittografia di AWS proprietà esistenti scegliendo una chiave gestita dal cliente (CMK). È possibile creare, possedere e gestire chiavi gestite dal cliente.

    Il controllo completo consente di eseguire in questo livello di crittografia le seguenti operazioni:

    • Stabilire e mantenere le policy della chiave

    • Stabilire e mantenere concessioni e policy IAM

    • Abilitare e disabilitare le policy della chiave

    • Ruotare i materiali crittografici delle chiavi

    • Aggiungere tag

    • Creare alias delle chiavi

    • Pianificare l’eliminazione di chiavi

    Per ulteriori informazioni, consulta Chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service.

Nota

Per tutti i modelli personalizzati importati, Amazon Bedrock abilita automaticamente la crittografia dei dati inattivi utilizzando chiavi AWS proprietarie per proteggere i dati dei clienti senza alcun costo. Se utilizzi una chiave gestita dal cliente, verranno AWS KMS addebitati dei costi. Per ulteriori informazioni sui prezzi, consulta Prezzi di AWS Key Management Service.

In che modo Amazon Bedrock utilizza le sovvenzioni in AWS KMS

Se per crittografare il modello importato specifichi una chiave gestita dal cliente, Amazon Bedrock crea una AWS KMS sovvenzione principale associata al modello importato per tuo conto inviando una CreateGrantrichiesta aAWS KMS. Questa concessione consente ad Amazon Bedrock di accedere e di utilizzare la chiave gestita dal cliente. Le sovvenzioni AWS KMS vengono utilizzate per consentire ad Amazon Bedrock di accedere a una chiave KMS nell'account di un cliente.

Amazon Bedrock richiede che la concessione utilizzi la chiave gestita dal cliente per le seguenti operazioni interne:

  • Invia DescribeKeyrichieste AWS KMS a per verificare che l'ID della chiave KMS simmetrica gestita dal cliente che hai inserito durante la creazione del lavoro sia valido.

  • Invia GenerateDataKeye AWS KMSdecrittografa le richieste per generare chiavi dati crittografate dalla chiave gestita dal cliente e decrittografa le chiavi dati crittografate in modo che possano essere utilizzate per crittografare gli artefatti del modello.

  • Invia CreateGrantrichieste per AWS KMS creare concessioni secondarie circoscritte con un sottoinsieme delle operazioni precedenti (DescribeKey,,Decrypt), GenerateDataKey per l'esecuzione asincrona dell'importazione del modello e per l'inferenza su richiesta.

  • Amazon Bedrock specifica un ente pensionante durante la creazione delle sovvenzioni, in modo che il servizio possa inviare una richiesta. RetireGrant

Hai pieno accesso alla tua chiave gestita dai clienti. AWS KMS Per revocare l’accesso alla concessione, segui la procedura descritta in Ritirare e revocare le concessioni nella Guida per gli sviluppatori di AWS Key Management Service oppure rimuovi l’accesso del servizio alla chiave gestita dal cliente in qualsiasi momento modificando la policy della chiave. In tal caso, Amazon Bedrock non sarà in grado di accedere al modello importato crittografato dalla chiave.

Ciclo di vita delle concessioni primarie e secondarie per modelli importati

  • Le concessioni primarie hanno una lunga durata e rimangono attive fino a quando i modelli personalizzati associati sono ancora in uso. Quando un modello importato personalizzato viene eliminato, la concessione primaria corrispondente viene automaticamente ritirata.

  • Le concessioni secondarie sono di breve durata. Vengono automaticamente ritirate non appena viene completata l’operazione che Amazon Bedrock esegue per conto dei clienti. Ad esempio, una volta terminato il processo di importazione di un modello personalizzato, la concessione secondaria che ha consentito ad Amazon Bedrock di crittografare il modello importato personalizzato viene immediatamente ritirata.