

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Key Management Service 为模型评估工作提供支持
<a name="model-evaluation-security-data"></a>

Amazon Bedrock 使用以下 IAM 和 AWS KMS 权限来使用您的密 AWS KMS 钥来解密您的文件并对其进行访问。它将这些文件保存到由 Amazon Bedrock 管理的 Amazon S3 内部位置，并使用以下权限对其进行加密。

## IAM 策略要求
<a name="model-evaluation-security-kms-policy-1"></a>

与你用来向 Amazon Bedrock 发出请求的 IAM 角色关联的 IAM 策略必须包含以下元素。要详细了解如何管理 AWS KMS 密钥，请参阅 [Using IAM policies with AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html)。

Amazon Bedrock 中的模型评估工作使用 AWS 自有密钥。这些 KMS 密钥归 Amazon Bedrock 所有。要了解有关 AWS 自有密钥的更多信息，请参阅*AWS Key Management Service 开发者指南*中的[AWS 自有密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)。

**必需的 IAM 策略元素**
+ `kms:Decrypt`— 对于您使用 AWS Key Management Service 密钥加密的文件，请向 Amazon Bedrock 提供访问和解密这些文件的权限。
+ `kms:GenerateDataKey` – 控制权限以使用 AWS Key Management Service 密钥来生成数据密钥。Amazon Bedrock 使用 `GenerateDataKey` 加密为评测作业存储的临时数据。
+ `kms:DescribeKey` – 提供有关 KMS 密钥的详细信息。
+ `kms:ViaService`— 条件密钥将 KMS 密钥的使用限制为来自指定 AWS 服务的请求。您必须将 Amazon S3 指定为服务，因为 Amazon Bedrock 将数据的临时副本存储在其拥有的 Amazon S3 位置。

以下是一个示例 IAM 策略，该策略仅包含必需的 AWS KMS IAM 操作和资源。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrock",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/[[keyId]]"
            ]
        },
        {
            "Sid": "CustomKMSDescribeKeyProvidedToBedrock",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/[[keyId]]"
            ]
        }
    ]
}
```

------

### 为调用 CreateEvaluationJob API 的角色设置 KMS 权限
<a name="model-evaluation-kms-create-job-1"></a>

确保您的角色具有 DescribeKey GenerateDataKey、和 Decrypt 权限，这些权限用于在评估作业中使用的 KMS 密钥上创建评估作业。

KMS 密钥策略示例

```
{
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/APICallingRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kmsDescribeKey"
            ],
            "Resource": "*"
       }
   ]
}
```

角色调用 CreateEvaluationJob API 的 IAM 策略示例

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/keyYouUse"
            ]
        }
    ]
}
```

------