Elementi politici chiave obbligatori per crittografare il processo di valutazione del modello utilizzando AWS KMS - Amazon Bedrock
Configurazione delle autorizzazioni KMS per i ruoli che chiamano l'API CreateEvaluationJob

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Elementi politici chiave obbligatori per crittografare il processo di valutazione del modello utilizzando AWS KMS

Ogni AWS KMS chiave deve avere esattamente una politica chiave. Le dichiarazioni contenute nella politica chiave determinano chi ha il permesso di usare la AWS KMS chiave e come può usarla. Puoi anche utilizzare le policy e le concessioni IAM per controllare l'accesso alla AWS KMS chiave, ma ogni AWS KMS chiave deve avere una policy chiave.

Elementi AWS KMS chiave delle policy obbligatori in Amazon Bedrock

  • kms:Decrypt: fornisce ad Amazon Bedrock le autorizzazioni per accedere ai file crittografati con la chiave AWS Key Management Service e decrittografarli.

  • kms:GenerateDataKey: controlla l’autorizzazione per utilizzare la chiave AWS Key Management Service per generare chiavi di dati. Amazon Bedrock utilizza GenerateDataKey per crittografare i dati temporanei archiviati per il processo di valutazione.

  • kms:DescribeKey: fornisce informazioni dettagliate su una chiave KMS.

È necessario aggiungere la seguente dichiarazione alla politica AWS KMS chiave esistente. L’istruzione fornisce ad Amazon Bedrock le autorizzazioni per archiviare temporaneamente i dati in un bucket del servizio Amazon Bedrock utilizzando la chiave AWS KMS specificata.

{
	"Effect": "Allow",
	"Principal": {
	    "Service": "bedrock.amazonaws.com"
	},
	"Action": [
	    "kms:GenerateDataKey",
	    "kms:Decrypt",
	    "kms:DescribeKey"
	],
	"Resource": "*",
	"Condition": {
	    "StringLike": {
	        "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*",
	        "aws:SourceArn": "arn:aws:bedrock:{{region}}:{{accountId}}:evaluation-job/*"
	    }
	}
}

Di seguito è riportato un esempio di AWS KMS politica completa.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "key-consolepolicy-3",
    "Statement": [
        {
            "Sid": "EnableIAMUserPermissions",
            "Effect": "Allow",
            "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "BedrockDataKeyAndDecrypt",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*",
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
                }
            }
        },
        {
            "Sid": "BedrockDescribeKey",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
                }
            }
        }
    ]
}

Configurazione delle autorizzazioni KMS per i ruoli che chiamano l'API CreateEvaluationJob

Assicurati di avere DescribeKey e decriptare le autorizzazioni per il tuo ruolo utilizzate per creare il lavoro di valutazione sulla chiave KMS che usi nel tuo lavoro di valutazione. GenerateDataKey

Esempio di policy della chiave KMS


{
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/APICallingRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kmsDescribeKey"
            ],
            "Resource": "*"
       }
   ]
}

Esempio di API IAM Policy for Role Calling CreateEvaluationJob

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/keyYouUse"
            ]
        }
    ]
}