Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo della chiave gestita dal cliente (CMK)
Se hai intenzione di utilizzare la chiave gestita dal cliente per crittografare il modello personalizzato importato, completa i seguenti passaggi:
-
Crea una chiave gestita dal cliente con AWS Key Management Service.
-
Allega una policy basata sulle risorse con le autorizzazioni per i ruoli specificati, in modo da consentire la creazione e l’utilizzo di modelli personalizzati importati.
Crea una chiave gestita dal cliente
Prima, assicurati di disporre delle autorizzazioni CreateKey. Quindi segui i passaggi di creazione delle chiavi per creare una chiave gestita dal cliente nella AWS KMS console o nel funzionamento dell'CreateKeyAPI. Assicurati di creare una chiave di crittografia simmetrica.
La creazione della chiave restituisce un valore Arn per la chiave, che è possibile utilizzare come importedModelKmsKeyId durante l’importazione di un modello personalizzato con importazione di modelli personalizzati.
Creare una policy della chiave e collegarla alla chiave gestita dal cliente
Le policy della chiave sono policy basate sulle risorse che alleghi alla chiave gestita dal cliente per controllarne l’accesso. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Puoi modificare la policy della chiave in qualsiasi momento, ma potrebbe verificarsi un breve ritardo prima che la modifica sia disponibile in AWS KMS. Per ulteriori informazioni, consulta Gestione dell’accesso alle chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service.
Crittografare un modello personalizzato importato
Per utilizzare la chiave gestita dal cliente per crittografare un modello personalizzato importato, è necessario includere le seguenti AWS KMS operazioni nella politica delle chiavi:
-
kms: CreateGrant — crea una concessione per una chiave gestita dal cliente consentendo al servizio Amazon Bedrock l'accesso principale alla chiave KMS specificata tramite operazioni di concessione. Per ulteriori informazioni sulle concessioni, consulta Concessioni in AWS KMS nella Guida per lo sviluppatore di AWS Key Management Service.
Nota
Amazon Bedrock stabilisce inoltre un principale in fase di ritiro e ritira automaticamente la concessione quando non è più necessaria.
-
kms: DescribeKey — fornisce i dettagli chiave gestiti dal cliente per consentire ad Amazon Bedrock di convalidare la chiave.
-
kms: GenerateDataKey — Fornisce i dettagli chiave gestiti dal cliente per consentire ad Amazon Bedrock di convalidare l'accesso degli utenti. Amazon Bedrock memorizza il testo criptato generato insieme al modello personalizzato importato, in modo che possa essere utilizzato come controllo di convalida aggiuntivo per gli utenti del modello personalizzato importato.
-
kms:Decrypt – decripta il testo criptato memorizzato per verificare che il ruolo possa accedere correttamente alla chiave che crittografa il modello personalizzato importato.
Di seguito è riportato un esempio di policy che puoi allegare a una chiave per un ruolo che utilizzerai per crittografare i modelli importati:
Decrittografare un modello personalizzato importato
Se stai importando un modello personalizzato che è già stato crittografato da un’altra chiave gestita dal cliente, devi aggiungere le autorizzazioni kms:Decrypt per lo stesso ruolo, come nella seguente policy:
