Autorizzazioni e policy chiave per modelli Amazon Nova personalizzati Configura le autorizzazioni chiave per crittografare e invocare modelli personalizzati

Crittografia dei processi e degli artefatti di personalizzazione del modello Amazon Nova

Per informazioni sulla crittografia dei processi e degli artefatti di personalizzazione del modello in Amazon Bedrock, consulta Encryption of model customization jobs and artifacts.

Argomenti

Autorizzazioni e policy chiave per modelli Amazon Nova personalizzati
Configura le autorizzazioni chiave per crittografare e invocare modelli personalizzati

Autorizzazioni e policy chiave per modelli Amazon Nova personalizzati

Le seguenti istruzioni sono necessarie per definire le autorizzazioni per la tua chiave KMS.

Istruzione PermissionsModelCustomization

Nel campo Principal, aggiungi gli account che desideri autorizzare alle operazioni Decrypt, GenerateDataKey, DescribeKey e CreateGrant all’elenco a cui è mappato il sottocampo AWS. Se usi la chiave di condizione kms:ViaService, è possibile aggiungere una riga per ogni regione oppure usare * al posto di ${region} per consentire tutte le regioni che supportano Amazon Bedrock.


{
    "Sid": "PermissionsModelCustomization",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::${account-id}:role/${customization-role}"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:DescribeKey",
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "bedrock.${region}.amazonaws.com"
            ] 
        }
    }
}

Istruzione PermissionsModelInvocation

Nel campo Principal, aggiungi gli account che desideri autorizzare alle operazioni Decrypt e GenerateDataKey all’elenco a cui è mappato il sottocampo AWS. Se usi la chiave di condizione kms:ViaService, è possibile aggiungere una riga per ogni regione oppure usare * al posto di ${region} per consentire tutte le regioni che supportano Amazon Bedrock.


{
    "Sid": "PermissionsModelInvocation",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::${account-id}:user/${invocation-role}"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "bedrock.${region}.amazonaws.com"
            ] 
        }
    }
}

Istruzione PermissionsNovaProvisionedThroughput

Quando crei un throughput con provisioning per il tuo modello Amazon Nova personalizzato, Amazon Bedrock esegue ottimizzazioni di inferenza e implementazione sul modello. In questo processo, Amazon Bedrock usa la stessa chiave KMS utilizzata per creare il modello personalizzato, al fine di mantenere il massimo livello di sicurezza, pari a quello del modello personalizzato stesso.


{
    "Sid": "PermissionsNovaProvisionedThroughput",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "bedrock.amazonaws.com",
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "kms:EncryptionContextKeys": "aws:bedrock:custom-model"
        }
    }
 }

Configura le autorizzazioni chiave per crittografare e invocare modelli personalizzati

Se prevedi di crittografare un modello personalizzato con una chiave KMS, la policy della chiave dipenderà dal tuo caso d’uso. Espandi la sezione corrispondente al tuo caso d’uso:

Se i ruoli che invocheranno il modello personalizzato sono gli stessi che personalizzeranno il modello, sono necessarie solo le istruzioni PermissionsModelCustomization e PermissionsNovaProvisionedThroughput delle istruzioni di autorizzazione.

Nel campo Principal, aggiungi gli account che desideri autorizzare a personalizzare e invocare il modello personalizzato all’elenco a cui il sottocampo AWS è mappato nell’istruzione PermissionsModelCustomization.
Per impostazione predefinita, l’istruzione PermissionsNovaProvisionedThroughput deve essere aggiunta alla policy della chiave con bedrock.amazonaws.com come principale del servizio consentito, a condizione che vengano utilizzate le chiavi kms:EncryptionContextKeys.

Se i ruoli che invocano il modello personalizzato sono diversi dal ruolo che personalizza il modello, sono necessarie tutte e tre le istruzioni di autorizzazione. Modifica le istruzioni nel seguente modello di policy come segue:

Nel campo Principal, aggiungi gli account che desideri autorizzare a personalizzare soltanto il modello personalizzato all’elenco a cui il sottocampo AWS è mappato nell’istruzione PermissionsModelCustomization.
Nel campo Principal, aggiungi gli account che desideri autorizzare a invocare soltanto il modello personalizzato all’elenco a cui il sottocampo AWS è mappato nell’istruzione PermissionsModelInvocation.
Per impostazione predefinita, l’istruzione PermissionsNovaProvisionedThroughput deve essere aggiunta alla policy della chiave con bedrock.amazonaws.com come principale del servizio consentito, a condizione che vengano utilizzate le chiavi kms:EncryptionContextKeys.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Id": "PermissionsCustomModelKey",
    "Statement": [
        {
            "Sid": "PermissionsModelCustomization",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/customization-role"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "PermissionsModelInvocation",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/invocation-role"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "PermissionsNovaPermissionedThroughput",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "bedrock.amazonaws.com"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": "aws:bedrock:custom-model"
                }
            }
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Fine-tuning dei modelli Amazon Nova

Preparazione dei dati per il fine-tuning dei modelli di comprensione