翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Key Management Serviceモデル評価ジョブでの のサポート
Amazon Bedrock は、次の IAM とAWS KMSアクセス許可を使用して、AWS KMSキーを使用してファイルを復号し、それらにアクセスします。これらのファイルは Amazon Bedrock が管理する内部 Amazon S3 ロケーションに保存され、次のアクセス許可を使用して暗号化されます。
IAM ポリシーの要件
Amazon Bedrock へのリクエスト作成に使用する IAM ロールに関連付けられている IAM ポリシーには、次の要素が必要です。AWS KMS キーの管理については、「AWS Key Management Service で IAM ポリシーを使用する」を参照してください。
Amazon Bedrock のモデル評価ジョブは、 AWS所有キーを使用します。これらの KMS キーは Amazon Bedrock が所有しています。AWS所有キーの詳細については、「 AWS Key Management Serviceデベロッパーガイド」のAWS「 所有キー」を参照してください。
必要な IAM ポリシー要素
-
kms:Decrypt— AWS Key Management Serviceキーで暗号化したファイルの場合、 は Amazon Bedrock にそれらのファイルにアクセスして復号するためのアクセス許可を提供します。 -
kms:GenerateDataKey— AWS Key Management Service キーを使用してデータキーを生成するアクセス許可を制御します。Amazon Bedrock は、GenerateDataKeyを使用して評価ジョブを保存する一時データを暗号化します。 -
kms:DescribeKey— KMS キーに関する詳細情報を提供します。 -
kms:ViaService— 条件キーは、指定されたAWSサービスからのリクエストに KMS キーの使用を制限します。Amazon Bedrock は、所有する Amazon S3 の場所にデータの一時コピーを保存するため、Amazon S3 をサービスとして指定する必要があります。
以下は、必要な AWS KMS IAM アクションおよびリソースのみを含む IAM ポリシーの例です。
CreateEvaluationJob API を呼び出すロールの KMS アクセス許可の設定
評価ジョブで使用する KMS キーに対して、評価ジョブの作成に使用するロールに DescribeKey、GenerateDataKey、Decrypt アクセス許可があることを確認します。
KMS キーポリシーの例
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:role/APICallingRole" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kmsDescribeKey" ], "Resource": "*" } ] }
CreateEvaluationJob API を呼び出すロールの IAM ポリシーの例
