本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Key Management Service支援模型評估任務
Amazon Bedrock 使用以下 IAM 和AWS KMS許可,使用您的 AWS KMS金鑰來解密和存取您的檔案。它會將這些檔案儲存到由 Amazon Bedrock 管理的內部 Amazon S3 位置,並使用下列許可來加密這些檔案。
IAM 政策要求
與您用來向 Amazon Bedrock 提出請求的 IAM 角色相關聯的 IAM 政策必須具有下列元素。若要進一步了解如何管理 AWS KMS 金鑰,請參閱搭配 AWS Key Management Service 使用 IAM 政策。
Amazon Bedrock 中的模型評估任務使用AWS擁有的金鑰。這些 KMS 金鑰由 Amazon Bedrock 擁有。若要進一步了解 AWS擁有的金鑰,請參閱《 AWS Key Management Service開發人員指南》中的 AWS擁有的金鑰。
必要的 IAM 政策元素
-
kms:Decrypt— 對於您使用AWS Key Management Service金鑰加密的檔案, 會提供 Amazon Bedrock 存取和解密這些檔案的許可。 -
kms:GenerateDataKey— 控制使用 AWS Key Management Service 金鑰產生資料金鑰的許可。Amazon Bedrock 會使用GenerateDataKey來加密其為評估任務存放的暫存資料。 -
kms:DescribeKey— 提供 KMS 金鑰的相關詳細資訊。 -
kms:ViaService— 條件金鑰會將 KMS 金鑰的使用限制為來自指定AWS服務的請求。您必須將 Amazon S3 指定為服務,因為 Amazon Bedrock 會將資料的臨時副本存放在其擁有的 Amazon S3 位置。
以下是僅包含必要 IAM 動作和資源的 IAM AWS KMS 政策範例。
為呼叫 CreateEvaluationJob API 的角色設定 KMS 許可
請確定您具有角色的 DescribeKey、GenerateDataKey 和 Decrypt 許可,用於在評估任務中使用的 KMS 金鑰上建立評估任務。
範例 KMS 金鑰政策
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:role/APICallingRole" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kmsDescribeKey" ], "Resource": "*" } ] }
呼叫 CreateEvaluationJob API 的角色 IAM 政策範例
