で許可Amazon Bedrockを使用する方法AWS KMS カスタマーマネージドキーの作成とキーポリシーのアタッチ Amazon BedrockData Automation リソースのアクセス許可とキーポリシー Amazon Bedrock オートメーションの暗号化コンテキスト Amazon Bedrockデータ自動化の暗号化キーのモニタリング

Amazon Bedrockデータ自動化での暗号化

Amazon Bedrockデータ自動化 (BDA) は、暗号化を使用して保管中のデータを保護します。これには、サービスで保存されているブループリント、プロジェクト、抽出されたインサイトが含まれます。BDA には、データを暗号化するためのオプションが 2 つ用意されています。

AWS所有キー – デフォルトでは、BDA はAWS所有キーを使用してデータを暗号化します。AWS所有キーを表示、管理、使用したり、その使用を監査したりすることはできません。ただし、データを暗号化するキーを保護するためのアクションの実施やプログラムの変更を行う必要はありません。詳細については、「 Key Management Service デベロッパーガイド」の「 AWS所有AWSキー」を参照してください。
カスタマーマネージドキー – 自分で管理するカスタマーマネージドキーを使用してデータを暗号化できます。AWS KMSキーの詳細については、「 Key Management Service デベロッパーガイド」の「カスタマーマネージドAWSキー」を参照してください。BDA は、Amazon Bedrock コンソールで使用するためのカスタマーマネージドキーをサポートしておらず、API オペレーションのみをサポートしています。

Amazon Bedrockデータオートメーションは、AWS所有キーを使用した保管時の暗号化を無償で自動的に有効にします。カスタマーマネージドキーを使用する場合、AWS KMS料金が適用されます。料金の詳細については、AWS KMS「の料金」を参照してください。

で許可Amazon Bedrockを使用する方法AWS KMS

invokeDataAutomationAsync を呼び出すときに BDA の暗号化にカスタマーマネージドキーを指定すると、CreateGrant リクエストを送信することで、サービスがユーザーに代わってリソースに関連付けられた許可を作成しますAWS KMS。この権限により、BDA はカスタマーマネージドキーにアクセスして使用できます。

BDA では、カスタマーマネージドキーの権限を次の内部オペレーションに使用します。

DescribeKey — リクエストをに送信AWS KMSして、指定した対称カスタマーマネージドAWS KMSキー ID が有効であることを確認します。
GenerateDataKey と Decrypt — にリクエストを送信AWS KMSして、カスタマーマネージドキーによって暗号化されたデータキーを生成し、暗号化されたデータキーを復号して、リソースの暗号化に使用できます。
CreateGrant — オペレーションAWS KMSの非同期実行のために、上記のオペレーションのサブセット (DescribeKey、GenerateDataKey、Decrypt) を使用してスコープダウンされたグラントを作成するリクエストをに送信します。

カスタマーマネージドAWS KMSキーへのフルアクセスがあります。権限へのアクセスを取り消すには、AWS KMS デベロッパーガイドの「権限の取得と取り消し」のステップを実行します。または、カスタマーマネージドキーへのサービスのアクセスを随時削除するには、キーポリシーを変更します。そうすると、BDA ではキーで暗号化されたリソースにアクセスできなくなります。

権限を取り消した後で新しい invokeDataAutomationAsync 呼び出しを開始すると、BDA によって権限が再作成されます。権限は 30 時間後に BDA によって廃止されます。

カスタマーマネージドキーの作成とキーポリシーのアタッチ

作成および管理するキーを使用して BDA リソースを暗号化するには、次の一般的なステップを実行します。

(前提条件) IAM ロールに CreateKey アクションのアクセス権があることを確認します。
「キーの作成」の手順に従って、 AWS KMSコンソールまたは CreateKey オペレーションを使用してカスタマーマネージドキーを作成します。
キーを作成すると、invokeDataAutomationAsync オペレーションなど、キーを使用する必要があるオペレーション (例: BDA でプロジェクトまたはブループリントを作成する場合) に使用できる ARN が返されます。
必要なアクセス権を持つキーポリシーを作成してキーにアタッチします。キーポリシーを作成するには、「 AWS KMSデベロッパーガイド」の「キーポリシーの作成」の手順に従います。

Amazon BedrockData Automation リソースのアクセス許可とキーポリシー

AWS KMSキーを作成したら、キーポリシーをアタッチします。BDA リソースを暗号化するキーには、次の AWS KMS アクションが使用されます。

kms:CreateGrant – InvokeDataAutomationAsync に必要なグラントオペレーションを通じて指定されたキーへの BDA サービスアクセスを許可することで、カスタマーマネージドAWS KMSキーのグラントを作成します。
kms:DescribeKey – カスタマーマネージドキーの詳細を提供し、BDA がキーを検証できるようにします。
kms:GenerateDataKey – カスタマーマネージドキーの詳細情報を提供して、BDA にユーザーアクセスの検証を許可します。
kms:Decrypt – 保存された暗号文を復号して、ロールが BDA リソースを暗号化するAWS KMSキーに適切にアクセスできることを確認します。

Amazon Bedrock Data Automation のキーポリシー

カスタマーマネージドキーを使用して BDA リソースを暗号化するには、キーポリシーに次のステートメントを含め、${account-id}、${region}、${key-id} を特定の値に置き換えます。

IAM ロールのアクセス許可

BDA とやり取りするために使用される IAM ロールには、次のアクセス許可AWS KMSが必要です。${region}、${account-id}、およびを特定の値${key-id}に置き換えます。

Amazon Bedrock オートメーションの暗号化コンテキスト

BDA は、すべての暗号化オペレーションで同じAWS KMS暗号化コンテキストを使用します。キーはで、aws:bedrock:data-automation-customer-account-id値はAWSアカウント ID です。暗号化コンテキストの例を以下に示します。



"encryptionContext": {
     "bedrock:data-automation-customer-account-id": "account id"
}

暗号化コンテキストによるモニタリングに暗号化コンテキストを使用する

対称カスタマーマネージドキーを使用してデータを暗号化する場合は、監査レコードとログで暗号化コンテキストを使用して、カスタマーマネージドキーがどのように使用されているかを特定することもできます。暗号化コンテキストは、 AWS CloudTrailまたは Amazon CloudWatch Logs によって生成されたログにも表示されます。

暗号化コンテキストを使用して顧客マネージドキーへのアクセスを制御する

対称カスタマーマネージドキー (CMK) へのアクセスを制御するための条件として、キーポリシーと IAM ポリシー内の暗号化コンテキストを使用することもできます。付与する際に、暗号化コンテキストの制約を使用することもできます。BDA は、権限に関わる暗号化コンテキスト制約を使用して、アカウントまたはリージョン内のカスタマーマネージドキーへのアクセスを制御します。グラントの制約では、指定された暗号化コンテキストの使用をグラントが許可するオペレーションが必要です。

次に、特定の暗号化コンテキストのカスタマーマネージドキーへのアクセスを付与するキーポリシーステートメントの例を示します。このポリシーステートメントの条件では、暗号化コンテキストを指定する暗号化コンテキスト制約がグラントに必要です。



[
    {
        "Sid": "Enable DescribeKey, Decrypt, GenerateDataKey",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
        },
        "Action": ["kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey"],
        "Resource": "*"
    },
    {
        "Sid": "Enable CreateGrant",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
        },
        "Action": "kms:CreateGrant",
        "Resource": "*",
        "Condition": {
            "StringLike": {
                "kms:EncryptionContext:aws:bedrock:data-automation-customer-account-id": "111122223333"
            },
            "StringEquals": {
                "kms:GrantOperations": ["Decrypt", "DescribeKey", "GenerateDataKey"]
            }
        }
    }
]

Amazon Bedrockデータ自動化の暗号化キーのモニタリング

Amazon BedrockData Automation リソースでAWS KMSカスタマーマネージドキーを使用する場合、 AWS CloudTrailまたは Amazon CloudWatch を使用してAmazon Bedrock、Data Automation が送信するリクエストを追跡できますAWS KMS。以下は、CreateGrant が Amazon BedrockData Automation によって呼び出されるAWS KMSオペレーションをモニタリングしてプライマリグラントを作成するAWS CloudTrailイベントの例です。


{
    "eventVersion": "1.09",
        "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/RoleForDataAutomation/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE",
        "sessionContext": {
        "sessionIssuer": {
        "type": "Role",
        "principalId": "AROAIGDTESTANDEXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/RoleForDataAutomation",
        "accountId": "111122223333",
        "userName": "RoleForDataAutomation"
        },
        "attributes": {
        "creationDate": "2024-05-07T21:46:28Z",
        "mfaAuthenticated": "false"
    }
    },
    "invokedBy": "bedrock.amazonaws.com"
    },
    "eventTime": "2024-05-07T21:49:44Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "bedrock.amazonaws.com",
    "userAgent": "bedrock.amazonaws.com",
    "requestParameters": {
    "granteePrincipal": "bedrock.amazonaws.com",
    "retiringPrincipal": "bedrock.amazonaws.com",
    "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
     "constraints": {
            "encryptionContextSubset": {
                "aws:bedrock:data-automation-customer-account-id": "000000000000"
            }
        },
    "operations": [
    "Decrypt",
    "CreateGrant",
    "GenerateDataKey",
    "DescribeKey"
    ]
    },
    "responseElements": {
    "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
    "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
    {
    "accountId": "111122223333",
    "type": "AWS::KMS::Key",
    "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon Bedrock サービスの暗号化キーを監視する

エージェントリソースの暗号化