Enkripsi impor model kustom - Amazon Bedrock
Bagaimana Amazon Bedrock menggunakan hibah di AWS KMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi impor model kustom

Impor Model Kustom dalam rilis pratinjau untuk Amazon Bedrock dan dapat berubah sewaktu-waktu.

Amazon Bedrock mendukung pembuatan model kustom dengan menggunakan fitur impor model kustom untuk mengimpor model yang telah Anda buat di lingkungan lain, seperti Amazon SageMaker. Model impor kustom Anda dikelola dan disimpan oleh AWS. Untuk informasi selengkapnya, lihat Mengimpor model.

Untuk enkripsi model impor kustom Anda, Amazon Bedrock menyediakan opsi berikut:

  • AWS kunci yang dimiliki - Secara default, Amazon Bedrock mengenkripsi model impor khusus dengan AWS kunci yang dimiliki. Anda tidak dapat melihat, mengelola, atau menggunakan kunci yang AWS dimiliki, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat kunci yang AWS dimiliki di Panduan Pengembang Layanan Manajemen AWS Kunci.

  • Kunci terkelola pelanggan (CMK) — Anda dapat memilih untuk menambahkan lapisan enkripsi kedua di atas kunci enkripsi yang AWS dimiliki yang ada dengan memilih kunci terkelola pelanggan (CMK). Anda membuat, memiliki, dan mengelola kunci yang dikelola pelanggan Anda.

    Karena Anda memiliki kendali penuh atas lapisan enkripsi ini, di dalamnya Anda dapat melakukan tugas-tugas berikut:

    • Menetapkan dan memelihara kebijakan utama

    • Menetapkan dan memelihara IAM kebijakan dan hibah

    • Mengaktifkan dan menonaktifkan kebijakan utama

    • Putar bahan kriptografi kunci

    • Tambahkan tag

    • Buat alias kunci

    • Kunci jadwal untuk penghapusan

    Untuk informasi selengkapnya, lihat kunci terkelola pelanggan di Panduan Pengembang Layanan Manajemen AWS Kunci.

catatan

Untuk semua model kustom yang Anda impor, Amazon Bedrock secara otomatis mengaktifkan enkripsi saat istirahat menggunakan kunci yang AWS dimiliki untuk melindungi data pelanggan tanpa biaya. Jika Anda menggunakan kunci yang dikelola pelanggan, AWS KMS dikenakan biaya. Untuk informasi selengkapnya tentang harga, lihat AWS Key Management Service Harga. .

Bagaimana Amazon Bedrock menggunakan hibah di AWS KMS

Jika Anda menentukan kunci yang dikelola pelanggan untuk mengenkripsi model yang diimpor. Amazon Bedrock membuat AWS KMS hibah utama yang terkait dengan model yang diimpor atas nama Anda dengan mengirimkan CreateGrantpermintaan ke AWS KMS. Hibah ini memungkinkan Amazon Bedrock untuk mengakses dan menggunakan kunci yang dikelola pelanggan Anda. Hibah AWS KMS digunakan untuk memberi Amazon Bedrock akses ke KMS kunci di akun pelanggan.

Amazon Bedrock mewajibkan hibah utama untuk menggunakan kunci terkelola pelanggan Anda untuk operasi internal berikut:

  • Kirim DescribeKeypermintaan AWS KMS untuk memverifikasi bahwa ID KMS kunci terkelola pelanggan simetris yang Anda masukkan saat membuat pekerjaan valid.

  • Kirim GenerateDataKeydan Dekripsi permintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci yang dikelola pelanggan Anda dan mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi artefak model.

  • Kirim CreateGrantpermintaan AWS KMS untuk membuat hibah sekunder cakupan ke bawah dengan subset dari operasi di atas (DescribeKey,,Decrypt)GenerateDataKey, untuk eksekusi impor model secara asinkron dan untuk inferensi sesuai permintaan.

  • Amazon Bedrock menentukan prinsipal pensiun selama pembuatan hibah, sehingga layanan dapat mengirim permintaan. RetireGrant

Anda memiliki akses penuh ke AWS KMS kunci yang dikelola pelanggan Anda. Anda dapat mencabut akses ke hibah dengan mengikuti langkah-langkah di Pensiun dan pencabutan hibah di Panduan Pengembang Layanan Manajemen AWS Kunci. Atau menghapus akses layanan ke kunci yang dikelola pelanggan Anda kapan saja dengan memodifikasi kebijakan utama. Jika Anda melakukannya, Amazon Bedrock tidak akan dapat mengakses model impor yang dienkripsi oleh kunci Anda.

Siklus hidup hibah primer dan sekunder untuk model impor khusus

  • Hibah primer memiliki umur yang panjang dan tetap aktif selama model kustom terkait masih digunakan. Ketika model impor kustom dihapus, hibah utama yang sesuai secara otomatis dihentikan.

  • Hibah sekunder berumur pendek. Mereka secara otomatis pensiun segera setelah operasi yang dilakukan Amazon Bedrock atas nama pelanggan selesai. Misalnya, setelah pekerjaan impor model kustom selesai, hibah sekunder yang memungkinkan Amazon Bedrock mengenkripsi model impor kustom akan segera dihentikan.