Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement des tâches et des artefacts de personnalisation des modèles
Par défaut, Amazon Bedrock chiffre les artefacts de modèle suivants à partir de vos tâches de personnalisation de modèles à l'aide d'une clé AWS gérée.
-
La tâche de personnalisation du modèle
-
Les fichiers de sortie (métriques de formation et de validation) issus de la tâche de personnalisation du modèle
-
Le modèle personnalisé qui en résulte
Vous pouvez éventuellement chiffrer les artefacts du modèle en créant une clé gérée par le client. Pour plus d'informations AWS KMS keys, consultez la section Clés gérées par le client dans le Guide du AWS Key Management Service développeur. Pour utiliser une clé gérée par le client, effectuez les étapes suivantes.
-
Créez une clé gérée par le client à l'aide du AWS Key Management Service.
-
Associez une politique basée sur les ressources avec des autorisations pour les rôles spécifiés afin de créer ou d'utiliser des modèles personnalisés.
Rubriques
Création d’une clé gérée par le client
Vérifiez d'abord que vous disposez des CreateKey autorisations nécessaires. Suivez ensuite les étapes de la section Création de clés pour créer une clé gérée par le client, soit dans la AWS KMS console, soit dans le cadre de l'opération CreateKeyAPI. Assurez-vous de créer une clé de chiffrement symétrique.
La création de la clé renvoie un Arn pour la clé que vous pouvez utiliser customModelKmsKeyId lorsque vous soumettez une tâche de personnalisation de modèle.
Créez une politique clé et associez-la à la clé gérée par le client
Associez la politique basée sur les ressources suivante à la clé KMS en suivant les étapes de la section Création d'une politique clé. La politique contient deux déclarations.
-
Autorisations accordées à un rôle pour chiffrer les artefacts de personnalisation du modèle. Ajoutez des ARN de rôles de modélisateur personnalisés au
Principalchamp. -
Autorisations permettant à un rôle d'utiliser un modèle personnalisé dans le cadre de l'inférence. Ajoutez des ARN de rôles d'utilisateur de modèles personnalisés au
Principalchamp.
{ "Version": "2012-10-17", "Id": "KMS Key Policy", "Statement": [ { "Sid": "Permissions for custom model builders", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "Permissions for custom model users", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": "kms:Decrypt", "Resource": "*" } }
Chiffrement des données de formation, de validation et de sortie
Lorsque vous utilisez Amazon Bedrock pour exécuter une tâche de personnalisation de modèle, vous stockez les fichiers d'entrée (données de formation/validation) dans votre compartiment Amazon S3. Une fois la tâche terminée, Amazon Bedrock stocke les fichiers de mesures de sortie dans le compartiment S3 que vous avez spécifié lors de la création de la tâche, ainsi que les artefacts du modèle personnalisé qui en résultent dans un compartiment Amazon S3 contrôlé par. AWS
Les fichiers d'entrée et de sortie sont chiffrés par défaut avec le chiffrement côté serveur Amazon S3 SSE-S3, à l'aide d'un. Clé gérée par AWS Ce type de clé est créé, géré et utilisé en votre nom par AWS.
Vous pouvez plutôt choisir de chiffrer ces fichiers à l'aide d'une clé gérée par le client que vous créez, détenez et gérez vous-même. Reportez-vous aux sections précédentes et aux liens suivants pour savoir comment créer des clés et des politiques clés gérées par le client.
-
Pour en savoir plus sur le chiffrement côté serveur Amazon S3 SSE-S3, consultez Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)
-
Pour en savoir plus sur les clés gérées par le client pour le chiffrement des objets S3, voir Utilisation du chiffrement côté serveur avec des clés AWS KMS (SSE-KMS)
