Permissões e políticas de chave para modelos personalizados do Amazon Nova Configurar as permissões da chave para criptografar e invocar modelos personalizados

Criptografia de artefatos e trabalhos de personalização de modelos do Amazon Nova

Para obter informações sobre a criptografia de seus trabalhos e artefatos de personalização de modelos no Amazon Bedrock, consulte Encryption of model customization jobs and artifacts.

Tópicos

Permissões e políticas de chave para modelos personalizados do Amazon Nova
Configurar as permissões da chave para criptografar e invocar modelos personalizados

Permissões e políticas de chave para modelos personalizados do Amazon Nova

As instruções a seguir são necessárias para estabelecer permissões para a chave do KMS.

Instrução PermissionsModelCustomization

No campo Principal, adicione as contas para as quais deseja permitir as operações Decrypt, GenerateDataKey, DescribeKey e CreateGrant à lista para a qual o subcampo da AWS mapeia. Caso use a chave de condição kms:ViaService, você poderá adicionar uma linha para cada região ou usar * no lugar de ${region} para permitir todas as regiões compatíveis com o Amazon Bedrock.


{
    "Sid": "PermissionsModelCustomization",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::${account-id}:role/${customization-role}"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:DescribeKey",
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "bedrock.${region}.amazonaws.com"
            ] 
        }
    }
}

Instrução PermissionsModelInvocation

No campo Principal, adicione as contas para as quais deseja permitir as operações Decrypt e GenerateDataKey à lista para a qual o subcampo da AWS mapeia. Caso use a chave de condição kms:ViaService, você poderá adicionar uma linha para cada região ou usar * no lugar de ${region} para permitir todas as regiões compatíveis com o Amazon Bedrock.


{
    "Sid": "PermissionsModelInvocation",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::${account-id}:user/${invocation-role}"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "bedrock.${region}.amazonaws.com"
            ] 
        }
    }
}

Instrução PermissionsNovaProvisionedThroughput

Quando você cria um throughput provisionado para seu modelo personalizado do Amazon Nova, o Amazon Bedrock realiza inferências e otimizações de implantação no modelo. Nesse processo, o Amazon Bedrock usa a mesma chave do KMS usada para criar o modelo personalizado para manter o mais alto nível de segurança, equivalente ao do próprio modelo personalizado.


{
    "Sid": "PermissionsNovaProvisionedThroughput",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "bedrock.amazonaws.com",
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "kms:EncryptionContextKeys": "aws:bedrock:custom-model"
        }
    }
 }

Configurar as permissões da chave para criptografar e invocar modelos personalizados

Se planejar criptografar um modelo que você personaliza com uma chave do KMS, a política de chave da chave dependerá do seu caso de uso. Expanda a seção que corresponde ao seu caso de uso:

Se os perfis que invocarão o modelo personalizado forem os mesmos que personalizarão o modelo, você apenas precisará das instruções PermissionsModelCustomization e PermissionsNovaProvisionedThroughput das instruções de permissões.

No campo Principal, adicione as contas às quais você deseja conceder permissão para personalizar e invocar o modelo personalizado à lista para a qual o subcampo da AWS mapeia na instrução PermissionsModelCustomization.
A instrução PermissionsNovaProvisionedThroughput deve ser adicionada por padrão à política de chave com bedrock.amazonaws.com como a entidade principal de serviço permitida, com a condição de que kms:EncryptionContextKeys seja usada.

Se os perfis que invocarão o modelo personalizado forem diferentes do perfil que personalizará o modelo, você precisará das três instruções de permissões. Modifique as declarações no modelo de política abaixo da seguinte forma:

No campo Principal, adicione as contas às quais você deseja conceder permissão para apenas personalizar o modelo personalizado à lista para a qual o subcampo da AWS mapeia na instrução PermissionsModelCustomization.
No campo Principal, adicione as contas às quais você deseja conceder permissão para apenas invocar o modelo personalizado à lista para a qual o subcampo da AWS mapeia na instrução PermissionsModelInvocation.
A instrução PermissionsNovaProvisionedThroughput deve ser adicionada por padrão à política de chave com bedrock.amazonaws.com como a entidade principal de serviço permitida, com a condição de que kms:EncryptionContextKeys seja usada.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Id": "PermissionsCustomModelKey",
    "Statement": [
        {
            "Sid": "PermissionsModelCustomization",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/customization-role"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "PermissionsModelInvocation",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/invocation-role"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "PermissionsNovaPermissionedThroughput",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "bedrock.amazonaws.com"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": "aws:bedrock:custom-model"
                }
            }
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Ajuste dos modelos do Amazon Nova

Preparar dados para o ajuste dos modelos de compreensão