Einen kundenverwalteten Schlüssel erstellen Erstellen Sie eine Schlüsselrichtlinie und fügen Sie sie dem vom Kunden verwalteten Schlüssel hinzu Verschlüsselung von Trainings-, Validierungs- und Ausgabedaten

Verschlüsselung von Modellierungsanpassungsaufträgen und Artefakten

Standardmäßig verschlüsselt Amazon Bedrock die folgenden Modellartefakte aus Ihren Modelanpassungsaufträgen mit einem AWS verwalteten Schlüssel.

Der Job zur Modellanpassung
Die Ausgabedateien (Trainings- und Validierungsmetriken) aus dem Modellierungsanpassungsjob
Das resultierende benutzerdefinierte Modell

Optional können Sie die Modellartefakte verschlüsseln, indem Sie einen vom Kunden verwalteten Schlüssel erstellen. Weitere Informationen dazu finden Sie AWS KMS keys unter Vom Kunden verwaltete Schlüssel im AWS Key Management Service Entwicklerhandbuch. Gehen Sie wie folgt vor, um einen vom Kunden verwalteten Schlüssel zu verwenden.

Erstellen Sie einen vom Kunden verwalteten Schlüssel mit dem AWS Key Management Service.
Fügen Sie eine ressourcenbasierte Richtlinie mit Berechtigungen für die angegebenen Rollen an, um benutzerdefinierte Modelle zu erstellen oder zu verwenden.

Themen

Einen kundenverwalteten Schlüssel erstellen
Erstellen Sie eine Schlüsselrichtlinie und fügen Sie sie dem vom Kunden verwalteten Schlüssel hinzu
Verschlüsselung von Trainings-, Validierungs- und Ausgabedaten

Einen kundenverwalteten Schlüssel erstellen

Stellen Sie zunächst sicher, dass Sie über Berechtigungen verfügen. CreateKey Folgen Sie dann den Schritten unter Schlüssel erstellen, um einen vom Kunden verwalteten Schlüssel entweder in der AWS KMS Konsole oder im CreateKeyAPI-Vorgang zu erstellen. Stellen Sie sicher, dass Sie einen symmetrischen Verschlüsselungsschlüssel erstellen.

Bei der Erstellung des Schlüssels wird ein Wert Arn für den Schlüssel zurückgegeben, den Sie customModelKmsKeyId beim Einreichen eines Auftrags zur Modellanpassung verwenden können.

Erstellen Sie eine Schlüsselrichtlinie und fügen Sie sie dem vom Kunden verwalteten Schlüssel hinzu

Fügen Sie dem KMS-Schlüssel die folgende ressourcenbasierte Richtlinie hinzu, indem Sie den Schritten unter Erstellen einer Schlüsselrichtlinie folgen. Die Richtlinie enthält zwei Aussagen.

Berechtigungen für eine Rolle zum Verschlüsseln von Artefakten zur Modellanpassung. Fügen Sie dem Feld ARNs für benutzerdefinierte Model Builder-Rollen hinzu. Principal
Berechtigungen für eine Rolle zur Verwendung eines benutzerdefinierten Modells als Inferenz. Fügen Sie dem Feld ARNs von Benutzerrollen mit benutzerdefiniertem Modell hinzu. Principal


{
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "Permissions for custom model builders",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Permissions for custom model users",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }      
}

Verschlüsselung von Trainings-, Validierungs- und Ausgabedaten

Wenn Sie Amazon Bedrock verwenden, um einen Modellierungsanpassungsjob auszuführen, speichern Sie die Eingabedateien (Trainings-/Validierungsdaten) in Ihrem Amazon S3 S3-Bucket. Wenn der Job abgeschlossen ist, speichert Amazon Bedrock die Ausgabe-Metrikdateien in dem S3-Bucket, den Sie bei der Erstellung des Jobs angegeben haben, und die resultierenden benutzerdefinierten Modellartefakte in einem Amazon S3 S3-Bucket, der von gesteuert wird. AWS

Die Eingabe- und Ausgabedateien werden standardmäßig mit der serverseitigen Amazon S3 SSE-S3-Verschlüsselung verschlüsselt, wobei eine verwendet wird. Von AWS verwalteter Schlüssel Dieser Schlüsseltyp wird in Ihrem Namen von erstellt, verwaltet und verwendet. AWS

Sie können sich stattdessen dafür entscheiden, diese Dateien mit einem vom Kunden verwalteten Schlüssel zu verschlüsseln, den Sie selbst erstellen, besitzen und verwalten. In den vorangegangenen Abschnitten und den folgenden Links erfahren Sie, wie Sie vom Kunden verwaltete Schlüssel und Schlüsselrichtlinien erstellen.

Weitere Informationen zur serverseitigen Verschlüsselung von Amazon S3 SSE-S3 finden Sie unter Verwenden der serverseitigen Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3)
Weitere Informationen über vom Kunden verwaltete Schlüssel zur Verschlüsselung von S3-Objekten finden Sie unter Verwenden der serverseitigen Verschlüsselung mit KMS-Schlüsseln (SSE-KMS) AWS

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Datenverschlüsselung

Verschlüsselung von Agentenressourcen