

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Key Management Service 支援模型評估任務
<a name="model-evaluation-security-data"></a>

Amazon Bedrock 使用以下 IAM 和 AWS KMS 許可，使用您的 AWS KMS 金鑰來解密和存取您的檔案。它會將這些檔案儲存到由 Amazon Bedrock 管理的內部 Amazon S3 位置，並使用下列許可來加密這些檔案。

## IAM 政策要求
<a name="model-evaluation-security-kms-policy-1"></a>

與您用來向 Amazon Bedrock 提出請求的 IAM 角色相關聯的 IAM 政策必須具有下列元素。若要進一步了解如何管理 AWS KMS 金鑰，請參閱[搭配 AWS Key Management Service使用 IAM 政策](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html)。

Amazon Bedrock 中的模型評估任務使用 AWS 擁有的金鑰。這些 KMS 金鑰由 Amazon Bedrock 擁有。若要進一步了解 AWS 擁有的金鑰，請參閱《 *AWS Key Management Service 開發人員指南*》中的 [AWS 擁有的金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)。

**必要的 IAM 政策元素**
+ `kms:Decrypt` — 對於您使用 AWS Key Management Service 金鑰加密的檔案， 會提供 Amazon Bedrock 存取和解密這些檔案的許可。
+ `kms:GenerateDataKey` — 控制使用 AWS Key Management Service 金鑰產生資料金鑰的許可。Amazon Bedrock 會使用 `GenerateDataKey` 來加密其為評估任務存放的暫存資料。
+ `kms:DescribeKey` — 提供 KMS 金鑰的相關詳細資訊。
+ `kms:ViaService` — 條件金鑰會將 KMS 金鑰的使用限制為來自指定 AWS 服務的請求。您必須將 Amazon S3 指定為服務，因為 Amazon Bedrock 會將資料的臨時副本存放在其擁有的 Amazon S3 位置。

以下是僅包含必要 IAM 動作和資源的 IAM AWS KMS 政策範例。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrock",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/[[keyId]]"
            ]
        },
        {
            "Sid": "CustomKMSDescribeKeyProvidedToBedrock",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/[[keyId]]"
            ]
        }
    ]
}
```

------

### 為呼叫 CreateEvaluationJob API 的角色設定 KMS 許可
<a name="model-evaluation-kms-create-job-1"></a>

請確定您具有角色的 DescribeKey、GenerateDataKey 和 Decrypt 許可，用於在評估任務中使用的 KMS 金鑰上建立評估任務。

範例 KMS 金鑰政策

```
{
    "Statement": [
       {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:role/APICallingRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kmsDescribeKey"
            ],
            "Resource": "*"
       }
   ]
}
```

呼叫 CreateEvaluationJob API 的角色 IAM 政策範例

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CustomKMSKeyProvidedToBedrockEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/keyYouUse"
            ]
        }
    ]
}
```

------