加密匯入的自訂模型
Amazon Bedrock 支援透過兩種使用相同加密方法的方法建立自訂模型。您的自訂模型由 AWS 管理和儲存:
-
自訂模型匯入任務 — 用於匯入自訂開放原始碼基礎模型 (例如 Mistral AI 或 Llama 模型)。
-
建立自訂模型:用於匯入您在 SageMaker AI 中自訂的 Amazon Nova 模型。
如需加密自訂模型,Amazon Bedrock 提供下列選項:
-
AWS 擁有的金鑰:根據預設,Amazon Bedrock 會使用 AWS 擁有的金鑰來加密匯入的自訂模型。您無法檢視、管理或使用 AWS 擁有的金鑰,或稽核其使用方式。不過,您不必採取任何動作或變更任何程式,即可保護加密您資料的金鑰。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的 AWS 擁有的金鑰。
-
客戶自管金鑰 (CMK):您可以選擇客戶自管金鑰 (CMK),在現有 AWS 擁有的加密金鑰上新增第二層加密。您可以建立、擁有及管理客戶自管金鑰。
由於您可以完全控制此層加密,因此能執行以下任務:
-
建立和維護金鑰政策
-
建立和維護 IAM 政策和授予
-
啟用和停用金鑰政策
-
輪換金鑰密碼編譯資料
-
新增標籤
-
建立金鑰別名
-
排程金鑰刪除
如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的客戶自管金鑰。
-
注意
對於您匯入的所有自訂模型,Amazon Bedrock 會使用 AWS 擁有的金鑰自動啟用靜態加密,以保護客戶資料,無需額外付費。如果您使用客戶自管金鑰,則需要支付 AWS KMS 費用。如需定價的詳細資訊,請參閱 AWS Key Management Service 定價。
Amazon Bedrock 如何在 AWS KMS 中使用授予
如果您指定客戶自管金鑰來加密匯入的模型。Amazon Bedrock 透過將 CreateGrant 請求傳送至 AWS KMS,代表您建立與匯入模型相關聯的主要 AWS KMS 授予。此授予允許 Amazon Bedrock 存取和使用客戶自管金鑰。AWS KMS 中的授予會用於提供對客戶帳戶中 KMS 金鑰的 Amazon Bedrock 存取權限。
Amazon Bedrock 需要主要授予,才能在下列內部操作中使用客戶自管金鑰:
-
將 DescribeKey 請求傳送至 AWS KMS,以確認建立任務時所輸入的對稱客戶自管 KMS 金鑰是否有效。
-
將 GenerateDataKey 和 Decrypt 請求傳送至 AWS KMS,以產生由客戶自管金鑰加密的資料金鑰,並解密加密的資料金鑰,以便將這些金鑰用來加密模型成品。
-
將 CreateGrant 請求傳送至 AWS KMS,以使用上述操作子集 (
DescribeKey、GenerateDataKey、Decrypt) 建立範圍縮減的次要授予,以用於模型匯入和隨需推論的非同步執行。 -
Amazon Bedrock 會在建立授予期間指定淘汰主體,因此服務可以傳送 RetireGrant 請求。
您可以完整存取客戶自管 AWS KMS 金鑰。您可以依照《AWS Key Management Service 開發人員指南》中淘汰和撤銷授予中的步驟來撤銷授予的存取權,或隨時修改金鑰政策來移除服務對客戶自管金鑰的存取權。如果您這樣做,Amazon Bedrock 將無法存取以金鑰加密的匯入模型。
自訂匯入模型之主要和次要授予的生命週期
-
主要授予的生命週期很長,只要相關聯的自訂模型仍在使用中,就會保持作用中狀態。刪除自訂匯入模型時,對應的主要授予會自動遭到淘汰。
-
次要授予是短期的。一旦 Amazon Bedrock 代表客戶執行的操作完成,這些授予就會自動遭到淘汰。例如,自訂模型匯入任務完成後,會立即淘汰允許 Amazon Bedrock 加密自訂匯入模型的次要授予。
