翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Key Management Service モデル評価ジョブでの のサポート
<a name="model-evaluation-security-data"></a>

Amazon Bedrock は、次の IAM と AWS KMS アクセス許可を使用して、 AWS KMS キーを使用してファイルを復号し、それらにアクセスします。これらのファイルは Amazon Bedrock が管理する内部 Amazon S3 ロケーションに保存され、次のアクセス許可を使用して暗号化されます。

## IAM ポリシーの要件
<a name="model-evaluation-security-kms-policy-1"></a>

Amazon Bedrock へのリクエスト作成に使用する IAM ロールに関連付けられている IAM ポリシーには、次の要素が必要です。 AWS KMS キーの管理については、「[AWS Key Management Serviceで IAM ポリシーを使用する](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html)」を参照してください。

Amazon Bedrock のモデル評価ジョブは、 AWS 所有キーを使用します。これらの KMS キーは Amazon Bedrock が所有しています。 AWS 所有キーの詳細については、「 *AWS Key Management Service デベロッパーガイド*」の[AWS 「 所有キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)」を参照してください。

**必要な IAM ポリシー要素**
+ `kms:Decrypt` — AWS Key Management Service キーで暗号化したファイルの場合、 は Amazon Bedrock にそれらのファイルにアクセスして復号化するアクセス許可を付与します。
+ `kms:GenerateDataKey` — AWS Key Management Service キーを使用してデータキーを生成するアクセス許可を制御します。Amazon Bedrock は、`GenerateDataKey` を使用して評価ジョブを保存する一時データを暗号化します。
+ `kms:DescribeKey` — KMS キーに関する詳細情報を提供します。
+ `kms:ViaService` — 条件キーは、指定された AWS サービスからのリクエストに KMS キーの使用を制限します。Amazon Bedrock は、所有する Amazon S3 の場所にデータの一時コピーを保存するため、Amazon S3 をサービスとして指定する必要があります。

以下は、必要な AWS KMS IAM アクションおよびリソースのみを含む IAM ポリシーの例です。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrock",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/[[keyId]]"
            ]
        },
        {
            "Sid": "CustomKMSDescribeKeyProvidedToBedrock",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/[[keyId]]"
            ]
        }
    ]
}
```

------

### CreateEvaluationJob API を呼び出すロールの KMS アクセス許可の設定
<a name="model-evaluation-kms-create-job-1"></a>

評価ジョブで使用する KMS キーに対して、評価ジョブの作成に使用するロールに DescribeKey、GenerateDataKey、Decrypt アクセス許可があることを確認します。

KMS キーポリシーの例

```
{
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/APICallingRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kmsDescribeKey"
            ],
            "Resource": "*"
       }
   ]
}
```

CreateEvaluationJob API を呼び出すロールの IAM ポリシーの例

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/keyYouUse"
            ]
        }
    ]
}
```

------