Elementi delle policy richiesti Requisiti della policy IAM AWS KMSrequisiti politici chiave

Crittografia dei dati per i processi di valutazione della knowledge base

Durante un processo di valutazione della knowledge base, Amazon Bedrock crea una copia temporanea dei tuoi dati e li elimina al termine del processo. Per crittografare i dati, Amazon Bedrock utilizza una chiave KMS. Può essere una chiave KMS specificata dall’utente o una chiave di proprietà di Amazon Bedrock.

Amazon Bedrock richiede l'IAM e AWS KMS le autorizzazioni nelle seguenti sezioni in modo da poter utilizzare la tua chiave KMS per effettuare le seguenti operazioni:

Decrittografare i tuoi dati.
Crittografare la copia temporanea creata da Amazon Bedrock.

Quando crei un processo di valutazione della knowledge base, puoi scegliere di utilizzare una chiave KMS di proprietà di Amazon Bedrock oppure una chiave gestita dal cliente. Se non specifichi una chiave gestita dal cliente, per impostazione predefinita Amazon Bedrock utilizza la propria chiave.

Per poter utilizzare una chiave gestita dal cliente, occorre completare le seguenti operazioni:

Aggiungere le azioni e le risorse IAM richieste alla policy del ruolo di servizio IAM.
Aggiungere gli elementi della policy della chiave KMS richiesti.
Creare una policy in grado di interagire con la tua chiave gestita dal cliente. Questo è specificato in una policy della chiave KMS separata.

Elementi delle policy richiesti

Le policy delle chiavi KMS e IAM presenti nelle sezioni sotto indicate includono i seguenti elementi obbligatori:

kms:Decrypt: fornisce ad Amazon Bedrock le autorizzazioni per accedere e decrittografare i file che hai crittografato con la tua chiave KMS.
kms:GenerateDataKey: controlla l’autorizzazione per utilizzare la chiave KMS per generare chiavi di dati. Amazon Bedrock utilizza GenerateDataKey per crittografare i dati temporanei archiviati per il processo di valutazione.
kms:DescribeKey: fornisce informazioni dettagliate su una chiave KMS.
kms:ViaService— La chiave condition limita l'uso di una chiave KMS per richiedere servizi specifici. AWS È necessario specificare i seguenti servizi:
- Amazon S3, perché Amazon Bedrock archivia una copia temporanea dei tuoi dati in una posizione Amazon S3 di proprietà di Amazon Bedrock.
- Amazon Bedrock, perché il servizio di valutazione chiama l’API Knowledge Base per Amazon Bedrock per eseguire il flusso di lavoro della knowledge base.
kms:EncryptionContext:context-key— Questa chiave condizionale limita l'accesso alle AWS KMS operazioni in modo che siano specifiche solo per il contesto di crittografia fornito.

Requisiti della policy IAM

Nel ruolo IAM che utilizzi con Amazon Bedrock, la policy IAM associata deve includere gli elementi sotto indicati. Per ulteriori informazioni sulla gestione delle AWS KMS chiavi, consulta Using IAM policies with AWS KMS.

I lavori di valutazione della Knowledge Base in Amazon Bedrock utilizzano chiavi AWS proprietarie. Per ulteriori informazioni sulle chiavi AWS possedute, consulta le chiavi AWS possedute nella Guida per gli AWS Key Management Service sviluppatori.

Di seguito è riportato un esempio di policy IAM che contiene solo le azioni e le risorse AWS KMS richieste:

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": [
                        "s3.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEvalKMS",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:evaluationJobArn": "arn:aws:bedrock:us-east-1:123456789012:evaluation-job/*"
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockKBDecryption",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:knowledgeBaseArn": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockKBEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:knowledgeBaseArn": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
                },
                "StringEquals": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CustomKMSKeyProvidedToBedrockKBGenerateDataKey",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:CustomerAwsAccountId": "123456789012",
                    "kms:EncryptionContext:SessionId": "*"
                },
                "StringEquals": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "CustomKMSDescribeKeyProvidedToBedrock",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/*"
            ]
        }
    ]
}

AWS KMSrequisiti politici chiave

Ogni chiave KMS deve avere una policy della chiave. Le istruzioni nella policy delle chiavi determinano chi dispone dell'autorizzazione per utilizzare la chiave KMS e come questa può essere utilizzata. Puoi utilizzare le policy IAM e le concessioni anche per controllare l’accesso alla chiave KMS, ma ogni chiave KMS deve disporre di una policy della chiave.

Alla policy della chiave KMS esistente è necessario aggiungere la dichiarazione indicata di seguito, che fornisce ad Amazon Bedrock le autorizzazioni per archiviare temporaneamente i tuoi dati in un bucket S3 utilizzando la chiave KMS che hai specificato.

Configurazione delle autorizzazioni KMS per i ruoli che chiamano l'API CreateEvaluationJob

Assicurati di avere DescribeKey e decriptare le autorizzazioni per il tuo ruolo utilizzate per creare il lavoro di valutazione sulla chiave KMS che usi nel tuo lavoro di valutazione. GenerateDataKey

Esempio di policy della chiave KMS



{
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/APICallingRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kmsDescribeKey"
            ],
            "Resource": "*"
       }
   ]
}

Esempio di API IAM Policy for Role Calling CreateEvaluationJob

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Requisiti della policy IAM

Eventi di gestione