Enkripsi pekerjaan kustomisasi model dan artefak - Amazon Bedrock
Buat kunci terkelola pelangganBuat kebijakan kunci dan lampirkan ke kunci yang dikelola pelangganEnkripsi data pelatihan, validasi, dan output

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi pekerjaan kustomisasi model dan artefak

Secara default, Amazon Bedrock mengenkripsi artefak model berikut dari pekerjaan penyesuaian model Anda dengan kunci terkelola. AWS

  • Pekerjaan kustomisasi model

  • File keluaran (metrik pelatihan dan validasi) dari pekerjaan penyesuaian model

  • Model kustom yang dihasilkan

Secara opsional, Anda dapat mengenkripsi artefak model dengan membuat kunci yang dikelola pelanggan. Untuk informasi selengkapnya AWS KMS keys, lihat Kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang. Untuk menggunakan kunci yang dikelola pelanggan, lakukan langkah-langkah berikut.

  1. Buat kunci yang dikelola pelanggan dengan AWS Key Management Service.

  2. Lampirkan kebijakan berbasis sumber daya dengan izin untuk peran tertentu untuk membuat atau menggunakan model kustom.

Buat kunci terkelola pelanggan

Pertama, pastikan Anda memiliki CreateKey izin. Kemudian ikuti langkah-langkah di Membuat kunci untuk membuat kunci yang dikelola pelanggan baik di AWS KMS konsol atau operasi CreateKeyAPI. Pastikan untuk membuat kunci enkripsi simetris.

Pembuatan kunci mengembalikan kunci Arn yang dapat Anda gunakan sebagai customModelKmsKeyId saat mengirimkan pekerjaan penyesuaian model.

Buat kebijakan kunci dan lampirkan ke kunci yang dikelola pelanggan

Lampirkan kebijakan berbasis sumber daya berikut ke kunci KMS dengan mengikuti langkah-langkah di Membuat kebijakan kunci. Kebijakan tersebut berisi dua pernyataan.

  1. Izin untuk peran untuk mengenkripsi artefak kustomisasi model. Tambahkan ARN peran pembuat model kustom ke Principal bidang.

  2. Izin untuk peran untuk menggunakan model kustom dalam inferensi. Tambahkan ARN peran pengguna model kustom ke Principal bidang.

{
    "Version": "2012-10-17",
    "Id": "KMS Key Policy",
    "Statement": [
        {
            "Sid": "Permissions for custom model builders",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Permissions for custom model users",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::account-id:user/role"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }      
}

Enkripsi data pelatihan, validasi, dan output

Saat Anda menggunakan Amazon Bedrock untuk menjalankan tugas penyesuaian model, Anda menyimpan file input (data pelatihan/validasi) di bucket Amazon S3 Anda. Saat pekerjaan selesai, Amazon Bedrock menyimpan file metrik keluaran di bucket S3 yang Anda tentukan saat membuat pekerjaan dan artefak model kustom yang dihasilkan dalam bucket Amazon S3 yang dikendalikan oleh. AWS

File input dan output dienkripsi dengan enkripsi sisi server Amazon S3 SSE-S3 secara default, menggunakan file. Kunci yang dikelola AWS Jenis kunci ini dibuat, dikelola, dan digunakan atas nama Anda oleh AWS.

Sebagai gantinya, Anda dapat memilih untuk mengenkripsi file-file ini dengan kunci yang dikelola pelanggan yang Anda buat, miliki, dan kelola sendiri. Lihat bagian sebelumnya dan tautan berikut untuk mempelajari cara membuat kunci dan kebijakan utama yang dikelola pelanggan.