As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Usar chave gerenciada pelo cliente (CMK) Se planejar usar a chave gerenciada pelo cliente para criptografar o modelo importado personalizado, conclua as seguintes etapas: 1. Crie uma chave gerenciada pelo cliente com o AWS Key Management Service. 1. Anexe uma [política baseada em recurso](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html) com permissões para que os perfis especificados criem e usem modelos importados personalizados. **Criar uma chave gerenciada pelo cliente** Primeiramente verifique se você tem permissões de `CreateKey`. Em seguida, siga as etapas de [criação de chaves](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) para criar chaves gerenciadas pelo cliente no AWS KMS console ou na operação da [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API. Crie uma chave de criptografia simétrica. A criação da chave retorna um `Arn` para a chave que é possível usar como o `importedModelKmsKeyId ` ao importar um modelo personalizado com a importação de modelo personalizado. **Criar uma política de chave e anexá-la à chave gerenciada pelo cliente** As políticas de chave são [políticas baseadas em recurso](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_identity-vs-resource.html) que você anexa à chave gerenciada pelo cliente para controlar o acesso a ela. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chave, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Você pode especificar uma política de chaves quando criar uma chave gerenciada pelo cliente. É possível modificar a política de chave a qualquer momento, mas pode haver um breve atraso para que a alteração esteja disponível em todo oAWS KMS. Para obter mais informações, consulte [Gerenciar o acesso a chaves gerenciadas pelo cliente](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#managing-access) no *Guia do desenvolvedor do AWS Key Management Service*. **Criptografar um modelo personalizado importado** Para usar sua chave gerenciada pelo cliente para criptografar um modelo personalizado importado, você deve incluir as seguintes AWS KMS operações na política de chaves: + [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) [— cria uma concessão para uma chave gerenciada pelo cliente, permitindo que o principal serviço Amazon Bedrock tenha acesso à chave KMS especificada por meio de operações de concessão.](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) Para obter mais informações sobre concessões, consulte [Concessões no AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) no *Guia do desenvolvedor do AWS Key Management Service*. **nota** O Amazon Bedrock também configura uma entidade principal que está sendo retirada e retira automaticamente a concessão quando ela não é mais necessária. + [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — fornece os detalhes da chave gerenciada pelo cliente para permitir que o Amazon Bedrock valide a chave. + [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Fornece os principais detalhes gerenciados pelo cliente para permitir que o Amazon Bedrock valide o acesso do usuário. O Amazon Bedrock armazena o texto cifrado gerado com o modelo personalizado importado para ser usado como uma verificação de validação adicional em relação aos usuários do modelo personalizado importado. + [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html): descriptografa o texto cifrado armazenado para validar se o perfil tem acesso adequado à chave do KMS que criptografa o modelo personalizado importado. Veja abaixo um exemplo de política que é possível anexar a uma chave para um perfil que você usará para criptografar modelos que você importou: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "KMS key policy for a key to encrypt an imported custom model", "Statement": [ { "Sid": "Permissions for model import API invocation role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/role" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" } ] } ``` ------ **Descriptografar um modelo personalizado importado criptografado** Se estiver importando um modelo personalizado que já tenha sido criptografado por outra chave gerenciada pelo cliente, adicione permissões `kms:Decrypt` ao mesmo perfil, conforme a seguinte política: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "KMS key policy for a key that encrypted a custom imported model", "Statement": [ { "Sid": "Permissions for model import API invocation role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/role" }, "Action": [ "kms:Decrypt" ], "Resource": "*" } ] } ``` ------