Crittografia dei dati per lavori di valutazione della knowledge base - Amazon Bedrock
Elementi della politica richiestiRequisiti della politica IAMAWS KMS requisiti politici chiave

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati per lavori di valutazione della knowledge base

Durante un lavoro di valutazione della knowledge base, Amazon Bedrock crea una copia temporanea dei tuoi dati. Amazon Bedrock elimina i dati al termine del processo. Per crittografare i dati, Amazon Bedrock utilizza una chiave KMS. Utilizza una chiave KMS specificata dall'utente o una chiave di proprietà di Amazon Bedrock.

Amazon Bedrock richiede l'IAM e AWS KMS le autorizzazioni nelle seguenti sezioni in modo da poter utilizzare la tua chiave KMS per effettuare le seguenti operazioni:

  • Decrittografa i tuoi dati.

  • Crittografa la copia temporanea creata da Amazon Bedrock.

Quando crei un lavoro di valutazione della knowledge base, puoi scegliere di utilizzare una chiave KMS di proprietà di Amazon Bedrock oppure puoi scegliere una chiave gestita dal cliente. Se non specifichi una chiave gestita dal cliente, Amazon Bedrock utilizza la relativa chiave per impostazione predefinita.

Prima di poter utilizzare una chiave gestita dal cliente, devi fare quanto segue:

  • Aggiungi le azioni e le risorse IAM richieste alla policy del ruolo di servizio IAM.

  • Aggiungi gli elementi chiave della policy KMS richiesti.

  • Crea una policy in grado di interagire con la tua chiave gestita dal cliente. Questo è specificato in una politica chiave KMS separata.

Elementi della politica richiesti

Le politiche chiave di IAM e KMS nelle seguenti sezioni includono i seguenti elementi obbligatori:

  • kms:Decrypt— Per i file che hai crittografato con la tua chiave KMS, fornisce ad Amazon Bedrock le autorizzazioni per accedere e decrittografare tali file.

  • kms:GenerateDataKey— Controlla l'autorizzazione a utilizzare la chiave KMS per generare chiavi dati. Amazon Bedrock lo utilizza GenerateDataKey per crittografare i dati temporanei archiviati per il processo di valutazione.

  • kms:DescribeKey— Fornisce informazioni dettagliate su una chiave KMS.

  • kms:ViaService— La chiave condizionale limita l'uso di una chiave KMS per richiedere servizi specifici AWS . È necessario specificare i seguenti servizi:

    • Amazon S3, perché Amazon Bedrock archivia una copia temporanea dei tuoi dati in una posizione Amazon S3 di proprietà di Amazon Bedrock.

    • Amazon Bedrock, perché il servizio di valutazione richiama l'API Amazon Bedrock Knowledge Bases per eseguire il flusso di lavoro della knowledge base.

  • kms:EncryptionContext:context-key— Questa chiave condizionale limita l'accesso alle AWS KMS operazioni in modo che siano specifiche solo per il contesto di crittografia fornito.

Requisiti della politica IAM

Nel ruolo IAM che utilizzi con Amazon Bedrock, la policy IAM associata deve avere i seguenti elementi. Per ulteriori informazioni sulla gestione delle AWS KMS chiavi, consulta Using IAM policies with AWS KMS.

I lavori di valutazione della Knowledge Base in Amazon Bedrock utilizzano chiavi AWS proprietarie. Per ulteriori informazioni sulle chiavi AWS possedute, consulta le chiavi AWS possedute nella Guida per gli AWS Key Management Service sviluppatori.

Di seguito è riportato un esempio di policy IAM che contiene solo le AWS KMS azioni e le risorse richieste:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/*"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": [
                        "s3.region.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEvalKMS",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:region:account-id:evaluation-job/*"
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockKBDecryption",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:knowledgeBaseArn": "arn:aws:bedrock:region:account-id:knowledge-base/*"
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockKBEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:knowledgeBaseArn": "arn:aws:bedrock:region:account-id:knowledge-base/*"
                },
                "StringEquals": {
                    "kms:ViaService": [
                        "bedrock.region.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockKBGenerateDataKey",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:CustomerAwsAccountId": "account-id",
                    "kms:EncryptionContext:SessionId": "*"
                },
                "StringEquals": {
                    "kms:ViaService": [
                        "bedrock.region.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CustomKMSDescribeKeyProvidedToBedrock",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/*"
            ]
        }
    ]
}

AWS KMS requisiti politici chiave

Ogni chiave KMS deve avere una politica chiave. Le istruzioni nella policy delle chiavi determinano chi dispone dell'autorizzazione per utilizzare la chiave KMS e come questa può essere utilizzata. Puoi anche utilizzare le policy e le concessioni IAM per controllare l'accesso alle chiavi KMS, ma ogni chiave KMS deve avere una policy chiave.

È necessario aggiungere la seguente dichiarazione alla politica delle chiavi KMS esistente. Fornisce ad Amazon Bedrock le autorizzazioni per archiviare temporaneamente i tuoi dati in un bucket S3 utilizzando la chiave KMS che hai specificato.

{
    "Version": "2012-10-17",
    "Id": "key-consolepolicy-3",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/CustomerProvidedRole"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:region:account-id:evaluation-job/*"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/CustomerProvidedRole"
            },
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:knowledgeBaseArn": "arn:aws:bedrock:region:account-id:knowledge-base/*"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/CustomerProvidedRole"
            },
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:knowledgeBaseArn": "arn:aws:bedrock:region:account-id:knowledge-base/*"
                },
                "StringEquals": {
                    "kms:ViaService": [
                        "bedrock.region.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockKBGenerateDataKey",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/CustomerProvidedRole"
            },
            "Action": "kms:GenerateDataKey",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:CustomerAwsAccountId": "account-id",
                    "kms:EncryptionContext:SessionId": "*"
                },
                "StringEquals": {
                    "kms:ViaService": [
                        "bedrock.region.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockS3",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/CustomerProvidedRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3.region.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "bedrock.amazonaws.com"
                ]
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:SourceArn": "arn:aws:bedrock:region:account-id:evaluation-job/*",
                    "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:region:account-id:evaluation-job/*"
                }
            }
        }
    ]
}

Configurazione delle autorizzazioni KMS per i ruoli che chiamano l'API CreateEvaluationJob

Assicurati di avere DescribeKey e decriptare le autorizzazioni per il tuo ruolo utilizzate per creare il lavoro di valutazione sulla chiave KMS che usi nel tuo lavoro di valutazione. GenerateDataKey

Esempio di politica chiave KMS


{
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/APICallingRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kmsDescribeKey"
            ],
            "Resource": "*"
       }
   ]
}

Esempio di policy IAM per l'API Role Calling CreateEvaluationJob 


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/keyYouUse"
            ]
        }
   ]
}