View a markdown version of this page

Chiffrement dans l'automatisation Amazon Bedrock des données - Amazon Bedrock
Comment Amazon Bedrock utilise les subventions dans AWS KMSCréation d’une clé gérée par le client et attachement d’une stratégie de cléAutorisations et politiques clés pour les ressources d'automatisation des Amazon Bedrock donnéesContexte de chiffrement Amazon Bedrock Data AutomationSurveillance de vos clés de chiffrement pour l'automatisation Amazon Bedrock des données

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement dans l'automatisation Amazon Bedrock des données

Amazon Bedrock Data Automation (BDA) utilise le chiffrement pour protéger vos données au repos. Cela inclut les plans, les projets, les bibliothèques et les informations extraites stockées par le service. BDA propose deux options de chiffrement de vos données :

  1. AWS clés détenues : par défaut, BDA chiffre vos données à l'aide de clés AWS détenues. Vous ne pouvez pas afficher, gérer ou utiliser les clés que vous AWS possédez, ni auditer leur utilisation. Toutefois, vous n’avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d'informations, consultez la section sur les clés AWS détenues dans le Guide du développeur du service de gestion des AWS clés.

  2. Clés gérées par le client : vous pouvez choisir de chiffrer vos données avec des clés gérées par le client que vous gérez vous-même. Pour plus d'informations sur AWS KMS les clés, consultez la section Clés gérées par le client dans le Guide du développeur du service de gestion des AWS clés. BDA ne prend pas en charge les clés gérées par le client destinées à être utilisées dans la console Amazon Bedrock , uniquement pour les opérations d’API.

Amazon Bedrock L'automatisation des données active automatiquement le chiffrement au repos à l'aide de clés AWS détenues gratuitement. Si vous utilisez une clé gérée par le client, AWS KMS des frais s'appliquent. Pour plus d'informations sur la tarification, consultez la section AWS KMS tarification.

Comment Amazon Bedrock utilise les subventions dans AWS KMS

Si vous spécifiez une clé gérée par le client pour le chiffrement de votre BDA lorsque vous appelez invokeDataAutomation Async CreateDataAutomationLibrary, le service crée une subvention associée à vos ressources en votre nom en envoyant une CreateGrant demande à. AWS KMS Cet octroi permet à BDA d’accéder à votre clé gérée par le client et de l’utiliser. La subvention créée par n' CreateDataAutomationLibrary est pas utilisée si le client ingère des entités de vocabulaire dans la bibliothèque.

BDA utilise l’octroi pour votre clé gérée par le client pour les opérations internes suivantes :

  • DescribeKey — Envoyez des demandes AWS KMS à pour vérifier que l'identifiant de AWS KMS clé symétrique géré par le client que vous avez fourni est valide.

  • GenerateDataKey et déchiffrer : envoyez des demandes AWS KMS pour générer des clés de données chiffrées par la clé gérée par votre client et déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos ressources.

  • CreateGrant — Envoyez des demandes AWS KMS à pour créer des autorisations délimitées pour l'exécution asynchrone d'opérations. Les opérations de subvention varient selon l'API :

    • InvokeDataAutomationAsync: DescribeKey GenerateDataKey, Déchiffrer

    • CreateDataAutomationLibrary: DescribeKey, GenerateDataKey, Déchiffrer, CreateGrant

Vous avez un accès complet à votre AWS KMS clé gérée par le client. Vous pouvez révoquer l’accès à l’octroi en suivant les étapes décrites dans Retrait et révocation d’octrois dans le Guide du développeur AWS KMS ou supprimer l’accès du service à votre clé gérée par le client à tout moment en modifiant la stratégie de clé. Dans ce cas, BDA ne peut pas accéder aux ressources chiffrées par votre clé.

Si vous lancez un nouvel appel invokeDataAutomation asynchrone après avoir révoqué une autorisation, BDA la recréera.

Les subventions créées par invokeDataAutomation Async sont supprimées par BDA au bout de 30 heures.

Les subventions créées par CreateDataAutomationLibrary sont supprimées par le BDA lorsque la bibliothèque est supprimée.

Création d’une clé gérée par le client et attachement d’une stratégie de clé

Pour chiffrer des ressources BDA à l’aide d’une clé que vous créez et gérez, suivez ces étapes générales :

  1. (Prérequis) Assurez-vous que votre rôle IAM dispose des autorisations nécessaires pour effectuer l' CreateKey action.

  2. Suivez les étapes de la section Création de clés pour créer une clé gérée par le client à l'aide de la AWS KMS console ou de l' CreateKey opération.

  3. La création de la clé renvoie un ARN que vous pouvez utiliser pour les opérations qui nécessitent l'utilisation de la clé (par exemple, lors de la création d'un projet ou d'un plan dans BDA), comme l'opération invokeDataAutomation Async.

  4. Créez une stratégie de clé et associez-la à la clé avec les autorisations requises. Pour créer une politique clé, suivez les étapes décrites dans la section Création d'une politique clé dans le guide du AWS KMS développeur.

Autorisations et politiques clés pour les ressources d'automatisation des Amazon Bedrock données

Après avoir créé une AWS KMS clé, vous devez y associer une politique clé. Les actions AWS KMS suivantes sont utilisées pour les clés qui chiffrent les ressources BDA :

  1. kms:CreateGrant — Crée une subvention pour une clé gérée par le client en autorisant le service BDA à accéder à la AWS KMS clé spécifiée par le biais d'opérations de subvention, nécessaires pour InvokeDataAutomationAsync et CreateDataAutomationLibrary.

  2. kms:DescribeKey — Fournit les informations clés gérées par le client pour permettre à BDA de valider la clé.

  3. kms:GenerateDataKey — Fournit les informations clés gérées par le client pour permettre à BDA de valider l'accès des utilisateurs.

  4. kms:Déchiffrer : déchiffre le texte chiffré stocké pour vérifier que le rôle dispose d'un accès approprié à la AWS KMS clé qui chiffre les ressources BDA.

Stratégie de clé pour l’automatisation des données Amazon Bedrock

Pour chiffrer les ressources BDA à l’aide de votre clé gérée par le client, incluez les instructions suivantes dans votre stratégie de clé et remplacez ${account-id}, ${region} et ${key-id} par vos valeurs spécifiques :

{
  "Version": "2012-10-17",
  "Id": "KMS key policy for a key to encrypt data for BDA resource",
  "Statement": [
    {
      "Sid": "Enable DescribeKey, Decrypt, GenerateDataKey",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/Role"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "bedrock.us-east-1.amazonaws.com"
        }
      }
    },
    {
      "Sid": "Enable CreateGrant",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/Role"
      },
      "Action": "kms:CreateGrant",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "bedrock.us-east-1.amazonaws.com"
        },
        "ForAllValues:StringEquals": {
          "kms:GrantOperations": [
            "CreateGrant",
            "GenerateDataKey",
            "Decrypt",
            "DescribeKey"
          ]
        }
      }
    }
  ]
}

Autorisations relatives aux rôles IAM

Le rôle IAM utilisé pour interagir avec BDA AWS KMS doit disposer des autorisations suivantes, remplacer ${region}${account-id}, et ${key-id} avec vos valeurs spécifiques :

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "bedrock.us-east-1.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Contexte de chiffrement Amazon Bedrock Data Automation

Pour toutes les DataAutomationLibrary opérations InvokeDataAutomationLibraryIngestionJob, y compris, BDA utilise le contexte de chiffrement ci-dessous dans toutes les opérations AWS KMS cryptographiques, où la clé est aws:bedrock:data-automation-library-arn et la valeur est le. libraryArn

"encryptionContext": {
     "aws:bedrock:data-automation-library-arn": "<LibraryArn>"
}

Pour les DataAutomationProject opérations, BDA utilise le contexte de chiffrement ci-dessous :

"encryptionContext": {
     "DataAutomationProjectArn": "<DataAutomationProjectArn>"
}

Pour les opérations Blueprint, BDA utilise le contexte de chiffrement ci-dessous :

"encryptionContext": {
     "BlueprintArn": "<BlueprintArn>"
}

Pour toutes les autres opérations, BDA utilise le contexte de chiffrement ci-dessous :

"encryptionContext": {
     "aws:bedrock:data-automation-customer-account-id": "111122223333"
}
Utilisation du contexte de chiffrement à des fins de surveillance

Lorsque vous chiffrez vos données à l’aide d’une clé symétrique gérée par le client, vous pouvez également identifier la manière dont la clé gérée par le client est utilisée à l’aide du contexte de chiffrement dans les enregistrements et les journaux d’audit. Le contexte de chiffrement apparaît également dans les journaux générés par AWS CloudTrail ou Amazon CloudWatch Logs.

Contrôle de l’accès à votre clé gérée par le client à l’aide du contexte de chiffrement

Vous pouvez utiliser le contexte de chiffrement dans les stratégies de clé et les politiques IAM en tant que conditions pour contrôler l’accès à votre clé symétrique gérée par le client. Vous pouvez également utiliser des contraintes de contexte de chiffrement dans un octroi. BDA contrôle l’accès à la clé gérée par le client dans votre compte ou région à l’aide d’une contrainte de contexte de chiffrement dans les octrois. La contrainte d’octroi exige que les opérations autorisées par l’octroi utilisent le contexte de chiffrement spécifié.

Vous trouverez ci-dessous des exemples d’instructions de stratégie de clé permettant d’accorder l’accès à une clé gérée par le client dans un contexte de chiffrement spécifique. La condition énoncée dans cette instruction de stratégie exige que les octrois comportent une contrainte de contexte de chiffrement qui spécifie le contexte de chiffrement.

[
    {
        "Sid": "Enable DescribeKey",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
        },
        "Action": ["kms:DescribeKey"],
        "Resource": "*",
        "Condition": {
            "StringLike": {
                "kms:ViaService": [
                    "bedrock.${region}.amazonaws.com"
                ]
            }
        }
    },
    {
        "Sid": "Enable Decrypt, GenerateDataKey",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
        },
        "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt"
        ],
        "Resource": "*",
        "Condition": {
            "StringLike": {
                "kms:ViaService": [
                    "bedrock.${region}.amazonaws.com"
                ],
                "kms:EncryptionContext:aws:bedrock:data-automation-customer-account-id": "111122223333"
            }
        }
    },
    {
        "Sid": "Enable CreateGrant",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
        },
        "Action": "kms:CreateGrant",
        "Resource": "*",
        "Condition": {
            "StringLike": {
                "kms:ViaService": [
                    "bedrock.${region}.amazonaws.com"
                ],
                "kms:EncryptionContext:aws:bedrock:data-automation-customer-account-id": "111122223333"
            },
            "StringEquals": {
                "kms:GrantOperations": ["Decrypt", "DescribeKey", "GenerateDataKey"]
            }
        }
    }
]

Lorsque vous appelezCreateDataAutomationLibrary, joignez la politique suivante pour accorder à BDA l'autorisation nécessaire pour accéder à votre clé gérée par le client.

[
    {
        "Sid": "Enable CreateGrant for CreateDataAutomationLibrary",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/ExampleRole"
        },
        "Action": "kms:CreateGrant",
        "Resource": "*",
        "Condition": {
            "StringLike": {
                "kms:ViaService": [
                    "bedrock.${region}.amazonaws.com"
                ]
            },
            "StringEquals": {
                "kms:GrantOperations": ["Decrypt", "DescribeKey", "GenerateDataKey", "CreateGrant"]
            }
        }
    }
]

Surveillance de vos clés de chiffrement pour l'automatisation Amazon Bedrock des données

Lorsque vous utilisez une clé gérée par le AWS KMS client avec vos ressources d'automatisation des Amazon Bedrock données, vous pouvez utiliser AWS CloudTrailou Amazon CloudWatchsuivre les demandes auxquelles Amazon Bedrock Data Automation envoie AWS KMS. Voici un exemple d' AWS CloudTrail événement permettant de CreateGrantsurveiller les AWS KMS opérations appelées par Amazon Bedrock Data Automation pour créer une subvention principale : 

{
    "eventVersion": "1.09",
        "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/RoleForDataAutomation/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE",
        "sessionContext": {
        "sessionIssuer": {
        "type": "Role",
        "principalId": "AROAIGDTESTANDEXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/RoleForDataAutomation",
        "accountId": "111122223333",
        "userName": "RoleForDataAutomation"
        },
        "attributes": {
        "creationDate": "2024-05-07T21:46:28Z",
        "mfaAuthenticated": "false"
    }
    },
    "invokedBy": "bedrock.amazonaws.com"
    },
    "eventTime": "2024-05-07T21:49:44Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "bedrock.amazonaws.com",
    "userAgent": "bedrock.amazonaws.com",
    "requestParameters": {
    "granteePrincipal": "bedrock.amazonaws.com",
    "retiringPrincipal": "bedrock.amazonaws.com",
    "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
     "constraints": {
            "encryptionContextSubset": {
                "aws:bedrock:data-automation-customer-account-id": "000000000000"
            }
        },
    "operations": [
    "Decrypt",
    "CreateGrant",
    "GenerateDataKey",
    "DescribeKey"
    ]
    },
    "responseElements": {
    "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
    "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
    {
    "accountId": "111122223333",
    "type": "AWS::KMS::Key",
    "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}