As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS Key Management Service suporte em trabalhos de avaliação de modelos
O Amazon Bedrock usa o seguinte IAM e AWS KMS as permissões para usar sua AWS KMS chave para descriptografar seus arquivos e acessá-los. Ele salva esses arquivos em um local interno do Amazon S3 gerenciado pelo Amazon Bedrock e usa as permissões a seguir para criptografá-los.
## Requisitos da política do IAM
A política do IAM associada ao perfil do IAM que você está usando para fazer solicitações ao Amazon Bedrock deve ter os elementos a seguir. Para saber mais sobre como gerenciar suas chaves do AWS KMS , consulte [Como usar políticas do IAM com o AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html).
Os trabalhos de avaliação de modelos no Amazon Bedrock usam chaves AWS próprias. Essas chaves do KMS são de propriedade do Amazon Bedrock. Para saber mais sobre chaves AWS próprias, consulte [chaves AWS próprias](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) no *Guia do AWS Key Management Service desenvolvedor*.
**Elementos necessários de políticas do IAM**
+ `kms:Decrypt`— Para arquivos que você criptografou com sua AWS Key Management Service chave, fornece ao Amazon Bedrock permissões para acessar e descriptografar esses arquivos.
+ `kms:GenerateDataKey`: controla a permissão para usar a chave do AWS Key Management Service para gerar chaves de dados. O Amazon Bedrock usa `GenerateDataKey` para criptografar os dados temporários que armazena para o trabalho de avaliação.
+ `kms:DescribeKey`: fornece informações detalhadas sobre uma chave do KMS.
+ `kms:ViaService`— A chave de condição limita o uso de uma chave KMS às solicitações de AWS serviços específicos. Especifique o Amazon S3 como um serviço porque o Amazon Bedrock armazena uma cópia temporária dos seus dados em um local do Amazon S3 de sua propriedade.
Veja a seguir um exemplo de política do IAM que contém somente as ações e os recursos do IAM do AWS KMS necessários.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CustomKMSKeyProvidedToBedrock",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/[[keyId]]"
]
},
{
"Sid": "CustomKMSDescribeKeyProvidedToBedrock",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/[[keyId]]"
]
}
]
}
```
------
### Configurando permissões do KMS para funções de chamada CreateEvaluationJob de API
Verifique se você tem DescribeKey GenerateDataKey, e as permissões Decrypt para sua função usada para criar o trabalho de avaliação na chave KMS que você usa em seu trabalho de avaliação.
Exemplo de política de chave do KMS
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:role/APICallingRole"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kmsDescribeKey"
],
"Resource": "*"
}
]
}
```
Exemplo de política do IAM para CreateEvaluationJob API de Role Calling
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CustomKMSKeyProvidedToBedrockEncryption",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/keyYouUse"
]
}
]
}
```
------