Amazon Nova 모델 사용자 지정 작업 및 아티팩트 암호화
Amazon Bedrock의 모델 사용자 지정 작업 및 아티팩트 암호화에 대한 자세한 내용은 Encryption of model customization jobs and artifacts를 참조하세요.
사용자 지정 Amazon Nova 모델에 대한 권한 및 키 정책
다음 명령문은 KMS 키에 대한 권한을 설정하는 데 필요합니다.
PermissionsModelCustomization 문
Principal 필드에서 AWS 하위 필드가 매핑하는 목록에 Decrypt, GenerateDataKey, DescribeKey 및 CreateGrant 작업을 허용할 계정을 추가합니다. kms:ViaService 조건 키를 사용하는 경우 각 리전에 행을 추가하거나 ${region} 대신 *를 사용하여 Amazon Bedrock을 지원하는 모든 리전을 허용할 수 있습니다.
{ "Sid": "PermissionsModelCustomization", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::${account-id}:role/${customization-role}" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "bedrock.${region}.amazonaws.com" ] } } }
PermissionsModelInvocation 문
Principal 필드에서 AWS 하위 필드가 매핑하는 목록에 Decrypt 및 GenerateDataKey 작업을 허용할 계정을 추가합니다. kms:ViaService 조건 키를 사용하는 경우 각 리전에 행을 추가하거나 ${region} 대신 *를 사용하여 Amazon Bedrock을 지원하는 모든 리전을 허용할 수 있습니다.
{ "Sid": "PermissionsModelInvocation", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::${account-id}:user/${invocation-role}" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "bedrock.${region}.amazonaws.com" ] } } }
PermissionsNovaProvisionedThroughput 문
사용자 지정 Amazon Nova 모델에 대해 프로비저닝된 처리량을 생성하면 Amazon Bedrock이 모델에 대해 추론 및 배포 최적화를 수행합니다. 이 프로세스에서 Amazon Bedrock은 사용자 지정 모델을 생성하는 데 사용된 것과 동일한 KMS 키를 사용하여 사용자 지정 모델 자체의 보안 수준과 동일한 최고 수준의 보안을 유지합니다.
{ "Sid": "PermissionsNovaProvisionedThroughput", "Effect": "Allow", "Principal": { "Service": [ "bedrock.amazonaws.com", ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:bedrock:custom-model" } } }
사용자 지정 모델을 암호화하고 간접적으로 호출하기 위한 키 권한 설정
KMS 키로 사용자 지정한 모델을 암호화하려는 경우 해당 키의 키 정책은 사용 사례에 따라 달라집니다. 해당하는 사용 사례의 섹션을 확장해 내용을 살펴보세요.
사용자 지정 모델을 간접적으로 호출할 역할이 모델을 사용자 지정할 역할과 동일한 경우 권한 문의 PermissionsModelCustomization 및 PermissionsNovaProvisionedThroughput 문만 있으면 됩니다.
-
Principal필드에서 사용자 지정 모델을 사용자 지정하도록 허용할 계정을PermissionsModelCustomization문에서AWS하위 필드가 매핑되는 목록에 추가합니다. -
PermissionsNovaProvisionedThroughput문은 기본적으로kms:EncryptionContextKeys가 사용된다는 조건하에 허용되는 서비스 위탁자로bedrock.amazonaws.com이 있는 키 정책에 추가되어야 합니다.
{ "Version": "2012-10-17", "Id": "PermissionsCustomModelKey", "Statement": [ { "Sid": "PermissionsModelCustomization", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::${account-id}:role/${customize-and-invoke-role}" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "bedrock.${region}.amazonaws.com" ] } } }, { "Sid": "PermissionsNovaProvisionedThroughput", "Effect": "Allow", "Principal": { "Service": [ "bedrock.amazonaws.com", ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:bedrock:custom-model" } } } ] }
사용자 지정 모델을 간접적으로 호출할 역할이 모델을 사용자 지정할 역할과 서로 다른 경우 세 가지 권한 문 모두 필요합니다. 아래 단계에 따라 정책 템플릿의 문을 수정합니다.
-
Principal필드에서 사용자 지정 모델만 사용자 지정할 수 있도록 허용할 계정을PermissionsModelCustomization문에서AWS하위 필드가 매핑하는 목록에 추가합니다. -
Principal필드에서 사용자 지정 모델만 간접적으로 호출할 수 있도록 허용할 계정을PermissionsModelInvocation문에서AWS하위 필드가 매핑하는 목록에 추가합니다. -
PermissionsNovaProvisionedThroughput문은 기본적으로kms:EncryptionContextKeys가 사용된다는 조건하에 허용되는 서비스 위탁자로bedrock.amazonaws.com이 있는 키 정책에 추가되어야 합니다.
{ "Version": "2012-10-17", "Id": "PermissionsCustomModelKey", "Statement": [ { "Sid": "PermissionsModelCustomization", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::${account-id}:user/${customization-role}" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "bedrock.${region}.amazonaws.com" ] } } }, { "Sid": "PermissionsModelInvocation", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::${account-id}:user/${invocation-role}" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "bedrock.${region}.amazonaws.com" ] } } }, { "Sid": "PermissionsNovaPermissionedThroughput", "Effect": "Allow", "Principal": { "Service": [ "bedrock.amazonaws.com", ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:bedrock:custom-model" } } } ] }
