Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung in der Amazon Bedrock Datenautomatisierung
Amazon Bedrock Data Automation (BDA) verwendet Verschlüsselung, um Ihre Daten im Ruhezustand zu schützen. Dazu gehören die vom Service gespeicherten Blueprints, Projekte, Bibliotheken und extrahierten Erkenntnisse. BDA bietet zwei Optionen für die Verschlüsselung Ihrer Daten:
AWS eigene Schlüssel — Standardmäßig verschlüsselt BDA Ihre Daten mit AWS eigenen Schlüsseln. Sie können AWS eigene Schlüssel nicht einsehen, verwalten oder verwenden oder deren Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter AWS Eigene Schlüssel im AWS Key Management Service Developer Guide.
Kundenseitig verwaltete Schlüssel: Sie haben die Möglichkeit, Ihre Daten mit kundenseitig verwalteten Schlüsseln zu verschlüsseln, die Sie selbst verwalten. Weitere Informationen zu AWS KMS Schlüsseln finden Sie unter Vom Kunden verwaltete Schlüssel im AWS Key Management Service Developer Guide. BDA unterstützt kundenseitig verwaltete Schlüssel nicht für die Verwendung in der Amazon Bedrock -Konsole, sondern nur für API-Operationen.
Amazon Bedrock Data Automation ermöglicht automatisch und kostenlos die Verschlüsselung im Ruhezustand mithilfe AWS eigener Schlüssel. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, AWS KMS fallen Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter AWS KMS Preise
Wie Amazon Bedrock verwendet man Zuschüsse in AWS KMS
Wenn Sie beim Aufrufen von invokeDataAutomation Async oder einen vom Kunden verwalteten Schlüssel für die Verschlüsselung Ihres BDA angeben CreateDataAutomationLibrary, erstellt der Service in Ihrem Namen einen Zuschuss, der Ihren Ressourcen zugeordnet ist, indem er eine CreateGrant Anfrage an AWS KMS sendet. Diese Erteilung ermöglicht BDA den Zugriff auf Ihren kundenseitig verwalteten Schlüssel und dessen Verwendung. Der Zuschuss, der von gewährt wurde, CreateDataAutomationLibrary wird nicht genutzt, wenn der Kunde Vokabeleinheiten in die Bibliothek aufnimmt.
BDA nutzt die Erteilung, um Ihren kundenseitig verwalteten Schlüssel für die folgenden internen Vorgänge zu verwenden:
DescribeKey — Senden Sie Anfragen an, um AWS KMS zu überprüfen, ob die von Ihnen angegebene symmetrische, vom Kunden verwaltete AWS KMS Schlüssel-ID gültig ist.
GenerateDataKey und Entschlüsseln — Senden Sie Anfragen AWS KMS an die Generierung von Datenschlüsseln, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden, und zur Entschlüsselung der verschlüsselten Datenschlüssel, sodass sie zur Verschlüsselung Ihrer Ressourcen verwendet werden können.
-
CreateGrant — Senden Sie Anfragen an, AWS KMS um Zuschüsse mit begrenztem Umfang für die asynchrone Ausführung von Vorgängen zu erhalten. Die Zuschussoperationen variieren je nach API:
InvokeDataAutomationAsync: DescribeKey, GenerateDataKey, Entschlüsseln
CreateDataAutomationLibrary: DescribeKey, GenerateDataKey, Entschlüsseln, CreateGrant
Sie haben vollen Zugriff auf Ihren vom Kunden verwalteten AWS KMS Schlüssel. Sie können den Zugriff auf die Erteilung jederzeit widerrufen, indem Sie die Schritte unter Zurückziehen und Widerrufen von Erteilungen im Entwicklerhandbuch zu AWS KMS befolgen, oder den Zugriff des Dienstes auf Ihren kundenseitig verwalteten Schlüssel entfernen, indem Sie die Schlüsselrichtlinie ändern. Wenn Sie dies tun, kann BDA nicht auf die mit Ihrem Schlüssel verschlüsselten Ressourcen zugreifen.
Wenn Sie nach dem Widerruf eines Zuschusses einen neuen invokeDataAutomation Async-Anruf einleiten, erstellt BDA den Zuschuss neu.
Die von invokeDataAutomation Async erstellten Grants werden von BDA nach 30 Stunden zurückgezogen.
Die von erstellten Zuschüsse CreateDataAutomationLibrary werden von BDA zurückgezogen, wenn die Bibliothek gelöscht wird.
Erstellen eines kundenseitig verwalteten Schlüssels und Anhängen einer Schlüsselrichtlinie
Um BDA-Ressourcen mit einem Schlüssel zu verschlüsseln, den Sie erstellen und verwalten, führen Sie die folgenden allgemeinen Schritte aus:
-
(Voraussetzung) Stellen Sie sicher, dass Ihre IAM-Rolle über Berechtigungen für die CreateKey Aktion verfügt.
-
Folgen Sie den Schritten unter Schlüssel erstellen, um mithilfe der AWS KMS Konsole oder des CreateKey Vorgangs einen vom Kunden verwalteten Schlüssel zu erstellen.
-
Durch die Erstellung des Schlüssels wird ein ARN zurückgegeben, den Sie für Operationen verwenden können, die die Verwendung des Schlüssels erfordern (z. B. beim Erstellen eines Projekts oder Blueprints in BDA), wie z. B. die invokeDataAutomation asynchrone Operation.
-
Erstellen Sie eine Schlüsselrichtlinie und ordnen Sie sie zusammen mit den erforderlichen Berechtigungen dem Schlüssel zu. Um eine Schlüsselrichtlinie zu erstellen, folgen Sie den Schritten unter Erstellen einer Schlüsselrichtlinie im AWS KMS Entwicklerhandbuch.
Berechtigungen und wichtige Richtlinien für Ressourcen zur Amazon Bedrock Datenautomatisierung
Nachdem Sie einen AWS KMS Schlüssel erstellt haben, fügen Sie ihm eine Schlüsselrichtlinie hinzu. Die folgenden AWS KMS -Aktionen werden für Schlüssel verwendet, die BDA-Ressourcen verschlüsseln:
-
kms:CreateGrant — Erzeugt einen Zuschuss für einen vom Kunden verwalteten Schlüssel, indem der BDA-Dienst über Grant-Operationen, die für InvokeDataAutomationAsync und benötigt werden, Zugriff auf den angegebenen AWS KMS Schlüssel erhält CreateDataAutomationLibrary.
-
kms:DescribeKey — Stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit BDA den Schlüssel validieren kann.
-
kms:GenerateDataKey — Stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit BDA den Benutzerzugriff validieren kann.
-
kms:Entschlüsseln — Entschlüsselt den gespeicherten Chiffretext, um zu überprüfen, ob die Rolle ordnungsgemäßen Zugriff auf den AWS KMS Schlüssel hat, der die BDA-Ressourcen verschlüsselt.
Schlüsselrichtlinie für Amazon Bedrock Data Automation
Um Ihren kundenseitig verwalteten Schlüssel zur Verschlüsselung von BDA-Ressourcen zu verwenden, nehmen Sie die folgenden Anweisungen in Ihre Schlüsselrichtlinie auf und ersetzen Sie ${account-id}, ${region} und ${key-id} mit Ihren spezifischen Werten:
{ "Version": "2012-10-17", "Id": "KMS key policy for a key to encrypt data for BDA resource", "Statement": [ { "Sid": "Enable DescribeKey, Decrypt, GenerateDataKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Role" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "bedrock.us-east-1.amazonaws.com" } } }, { "Sid": "Enable CreateGrant", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Role" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "bedrock.us-east-1.amazonaws.com" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "CreateGrant", "GenerateDataKey", "Decrypt", "DescribeKey" ] } } } ] }
IAM-Rollenberechtigungen
Die IAM-Rolle, die für die Interaktion mit BDA verwendet wurde, AWS KMS sollte über die folgenden Berechtigungen verfügen: replace ${region}${account-id}, und ${key-id} mit Ihren spezifischen Werten:
Amazon Bedrock Data Automation-Verschlüsselungskontext
Für alle DataAutomationLibrary Operationen InvokeDataAutomationLibraryIngestionJob, einschließlich, verwendet BDA bei allen AWS KMS kryptografischen Vorgängen den folgenden Verschlüsselungskontext, wobei der Schlüssel aws:bedrock:data-automation-library-arn und der Wert der ist. libraryArn
"encryptionContext": { "aws:bedrock:data-automation-library-arn": "<LibraryArn>" }
Für DataAutomationProject Operationen verwendet BDA den folgenden Verschlüsselungskontext:
"encryptionContext": { "DataAutomationProjectArn": "<DataAutomationProjectArn>" }
Für Blueprint-Operationen verwendet BDA den folgenden Verschlüsselungskontext:
"encryptionContext": { "BlueprintArn": "<BlueprintArn>" }
Für alle anderen Operationen verwendet BDA den folgenden Verschlüsselungskontext:
"encryptionContext": { "aws:bedrock:data-automation-customer-account-id": "111122223333" }
Verwenden des Verschlüsselungskontexts für die Überwachung
Wenn Sie einen symmetrischen, kundenseitig verwalteten Schlüssel verwenden, um Ihre Daten zu verschlüsseln, können Sie den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um zu ermitteln, wie der kundenseitig verwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in Protokollen, die von Amazon CloudWatch Logs generiert wurden AWS CloudTrail .
Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den kundenseitig verwalteten Schlüssel
Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien als Bedingungen verwenden, um den Zugriff auf Ihren symmetrischen, kundenseitig verwalteten Schlüssel zu kontrollieren. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden. BDA verwendet eine Einschränkung des Verschlüsselungskontextes bei Erteilungen, um den Zugriff auf den kundenseitig verwalteten Schlüssel in Ihrem Konto oder Ihrer Region zu kontrollieren. Eine Genehmigungseinschränkung erfordert, dass durch die Genehmigung ermöglichte Vorgänge den angegebenen Verschlüsselungskontext verwenden.
Im Folgenden finden Sie Beispiele für Schlüsselrichtlinienanweisungen zur Gewährung des Zugriffs auf einen kundenseitig verwalteten Schlüssel für einen bestimmten Verschlüsselungskontext. Die Bedingung in dieser Richtlinienanweisung setzt voraus, dass die Genehmigungen eine Einschränkung des Verschlüsselungskontextes haben, die den Verschlüsselungskontext spezifiziert.
[ { "Sid": "Enable DescribeKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleRole" }, "Action": ["kms:DescribeKey"], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "bedrock.${region}.amazonaws.com" ] } } }, { "Sid": "Enable Decrypt, GenerateDataKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleRole" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "bedrock.${region}.amazonaws.com" ], "kms:EncryptionContext:aws:bedrock:data-automation-customer-account-id": "111122223333" } } }, { "Sid": "Enable CreateGrant", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleRole" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "bedrock.${region}.amazonaws.com" ], "kms:EncryptionContext:aws:bedrock:data-automation-customer-account-id": "111122223333" }, "StringEquals": { "kms:GrantOperations": ["Decrypt", "DescribeKey", "GenerateDataKey"] } } } ]
Wenn Sie anrufenCreateDataAutomationLibrary, fügen Sie die folgende Richtlinie bei, um BDA die erforderlichen Berechtigungen für den Zugriff auf Ihren vom Kunden verwalteten Schlüssel zu gewähren.
[ { "Sid": "Enable CreateGrant for CreateDataAutomationLibrary", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleRole" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "bedrock.${region}.amazonaws.com" ] }, "StringEquals": { "kms:GrantOperations": ["Decrypt", "DescribeKey", "GenerateDataKey", "CreateGrant"] } } } ]
Überwachung Ihrer Verschlüsselungsschlüssel für die Amazon Bedrock Datenautomatisierung
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren Amazon Bedrock Data Automation-Ressourcen verwenden, können Sie AWS CloudTrailoder verwenden, Amazon CloudWatchum Anfragen zu verfolgen, an die Amazon Bedrock Data Automation sendet AWS KMS. Im Folgenden finden Sie ein AWS CloudTrail Beispielereignis CreateGrantzur Überwachung von AWS KMS Vorgängen, die von Amazon Bedrock Data Automation aufgerufen wurden, um einen primären Zuschuss zu erhalten:
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01", "arn": "arn:aws:sts::111122223333:assumed-role/RoleForDataAutomation/SampleUser01", "accountId": "111122223333", "accessKeyId": "EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAIGDTESTANDEXAMPLE", "arn": "arn:aws:iam::111122223333:role/RoleForDataAutomation", "accountId": "111122223333", "userName": "RoleForDataAutomation" }, "attributes": { "creationDate": "2024-05-07T21:46:28Z", "mfaAuthenticated": "false" } }, "invokedBy": "bedrock.amazonaws.com" }, "eventTime": "2024-05-07T21:49:44Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-east-1", "sourceIPAddress": "bedrock.amazonaws.com", "userAgent": "bedrock.amazonaws.com", "requestParameters": { "granteePrincipal": "bedrock.amazonaws.com", "retiringPrincipal": "bedrock.amazonaws.com", "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "constraints": { "encryptionContextSubset": { "aws:bedrock:data-automation-customer-account-id": "000000000000" } }, "operations": [ "Decrypt", "CreateGrant", "GenerateDataKey", "DescribeKey" ] }, "responseElements": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE", "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" }, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
