Amazon Bedrock Flows 리소스 암호화 - Amazon Bedrock

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Bedrock Flows 리소스 암호화

Amazon Bedrock은 저장 데이터를 암호화합니다. 기본적으로 Amazon Bedrock은 AWS 관리형 키를 사용하여 이 데이터를 암호화합니다. 선택적으로 고객 관리형 키를 사용하여 데이터를 암호화할 수 있습니다.

에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서고객 관리형 키를 AWS KMS keys참조하세요.

사용자 지정 KMS 키로 데이터를 암호화하는 경우 Amazon Bedrock이 사용자를 대신하여 데이터를 암호화하고 해독할 수 있도록 다음과 같은 자격 증명 기반 정책 및 리소스 기반 정책을 설정해야 합니다.

  1. Amazon Bedrock Flows API 호출을 수행할 권한이 있는 IAM 역할 또는 사용자에게 다음 자격 증명 기반 정책을 연결합니다. 이 정책은 Amazon Bedrock Flows 호출을 수행하는 사용자에게 KMS 권한이 있는지 확인합니다. ${region}, ${account-id}, ${flow-id}${key-id}를 적절한 값으로 바꿉니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow Amazon Bedrock Flows to encrypt and decrypt data",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:${region}:${account-id}:flow/${flow-id}",
                    "kms:ViaService": "bedrock.${region}.amazonaws.com"
                }
            }
        }
    ]
}

  2. 다음 리소스 기반 정책을 KMS 키에 연결합니다. 필요에 따라 권한의 범위를 변경합니다. {IAM-USER/ROLE-ARN}, ${region}, ${account-id}, ${flow-id}${key-id}를 적절한 값으로 바꿉니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::${account-id}:root"
            },
            "Action": "kms:*",
            "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}"
        },
        {
            "Sid": "Allow the IAM user or IAM role of Flows API caller to use the key to encrypt and decrypt data.",
            "Effect": "Allow",
            "Principal": {
                "AWS": "{IAM-USER/ROLE-ARN}"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:${region}:${account-id}:flow/${flow-id}",
                    "kms:ViaService": "bedrock.${region}.amazonaws.com"
                }
            }
        }
    ]
}

  3. 흐름 실행의 경우 흐름을 생성하고 관리할 권한이 있는 서비스 역할에 다음 자격 증명 기반 정책을 연결합니다. 이 정책은 서비스 역할에 AWS KMS 권한이 있는지 확인합니다. region, account-id, flow-idkey-id를 적절한 값으로 바꿉니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow data encryption and decryption with flow executions in Amazon Bedrock.",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:region:account-id:flow/flow-id",
                    "kms:ViaService": "bedrock.region.amazonaws.com"
                }
            }
        }
    ]
}