Creazione di una chiave gestita dal cliente

Crittografia di Amazon Bedrock Studio

Amazon Bedrock Studio è in versione di anteprima per Amazon Bedrock ed è soggetto a modifiche.

La crittografia predefinita dei dati a riposo aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili. Allo stesso tempo, consente di creare applicazioni sicure che soddisfano i rigorosi requisiti normativi e di conformità alla crittografia.

Amazon Bedrock Studio utilizza chiavi AWS di proprietà predefinite per crittografare automaticamente i dati inattivi. Non puoi visualizzare, gestire o controllare l'uso delle chiavi di AWS proprietà. Per ulteriori informazioni, consulta chiavi AWS possedute.

Sebbene non sia possibile disabilitare questo livello di crittografia o selezionare un tipo di crittografia alternativo, puoi aggiungere un secondo livello di crittografia alle chiavi di crittografia di AWS proprietà esistenti scegliendo una chiave gestita dal cliente quando crei i tuoi domini Amazon Bedrock Studio. Amazon Bedrock Studio supporta l'uso di chiavi simmetriche gestite dal cliente che puoi creare, possedere e gestire per aggiungere un secondo livello di crittografia rispetto alla crittografia di proprietà esistente AWS . Poiché hai il pieno controllo di questo livello di crittografia, in esso puoi eseguire le seguenti attività:

Stabilire e mantenere le politiche chiave
Stabilire e mantenere IAM politiche e sovvenzioni
Abilita e disabilita le politiche chiave
Ruota il materiale crittografico chiave
Aggiunta di tag
Crea alias chiave
Pianifica l'eliminazione delle chiavi

Per ulteriori informazioni, consulta Customer managed keys.

Nota

Amazon Bedrock Studio abilita automaticamente la crittografia dei dati inattivi utilizzando chiavi AWS proprietarie per proteggere i dati dei clienti senza alcun costo.

AWS KMSsi applicano costi per l'utilizzo di chiavi gestite dal cliente. Per ulteriori informazioni sui prezzi, consulta la sezione Prezzi del servizio di gestione delle AWS chiavi.

Creazione di una chiave gestita dal cliente

È possibile creare una chiave simmetrica gestita dal cliente utilizzando la console di AWS gestione o il. AWS KMS APIs

Per creare una chiave simmetrica gestita dal cliente, segui i passaggi per la creazione di una chiave gestita dal cliente simmetrica nella Key Management Service Developer Guide. AWS

Politica chiave: le politiche chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Gestire l'accesso alle chiavi gestite dal cliente nella AWS Key Management Service Developer Guide.

Nota

Se utilizzi una chiave gestita dal cliente, assicurati di etichettare la AWS KMS chiave con la chiave EnableBedrock e il valore ditrue. Per ulteriori informazioni, consulta Etichettatura delle chiavi.

Per utilizzare la chiave gestita dai clienti con le tue risorse Amazon Bedrock Studio, nella policy chiave devono essere consentite le seguenti API operazioni:

kms: CreateGrant — aggiunge una concessione a una chiave gestita dal cliente. Concede l'accesso di controllo a una KMS chiave specificata, che consente l'accesso alle operazioni di concessione richieste da Amazon Bedrock Studio. Per ulteriori informazioni sull'utilizzo di Grants, consulta la AWS Key Management Service Developer Guide.
kms: DescribeKey — fornisce i dettagli chiave gestiti dal cliente per consentire ad Amazon Bedrock Studio di convalidare la chiave.
kms: GenerateDataKey — restituisce una chiave dati simmetrica unica da utilizzare al di fuori di. AWS KMS
kms:Decrypt — decrittografa il testo cifrato che è stato crittografato da una chiave. KMS

Di seguito è riportato un esempio di dichiarazione politica che puoi aggiungere per Amazon Bedrock Studio. Per utilizzare la policy, procedi come segue:

Sostituisci le istanze di \{FIXME:REGION\} con la AWS regione che stai utilizzando e \{FIXME:ACCOUNT_ID\} con l'ID AWS del tuo account. I \ caratteri non validi JSON indicano dove è necessario effettuare gli aggiornamenti. Ad esempio "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*" diventerebbe "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:use-east-1:111122223333:agent/*"
Passa \{provisioning role name\} al nome del ruolo di provisioning che utilizzerai per l'area di lavoro che utilizza la chiave.
Passa \{Admin Role Name\} al nome del IAM ruolo che avrà i privilegi di amministrazione per la chiave.


{
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "Enable IAM User Permissions Based on Tags",
    "Effect": "Allow",
    "Principal": {
      "AWS": "*"
    },
    "Action": [
      "kms:Decrypt",
      "kms:GenerateDataKey",
      "kms:GenerateDataKeyPair",
      "kms:GenerateDataKeyPairWithoutPlaintext",
      "kms:GenerateDataKeyWithoutPlaintext",
      "kms:Encrypt"
    ],
    "Resource": "\{FIXME:KMS_ARN\}",
    "Condition": {
      "StringEquals": {
        "aws:PrincipalTag/AmazonBedrockManaged": "true",
        "kms:CallerAccount" : "\{FIXME:ACCOUNT_ID\}"
      },
      "StringLike": {
        "aws:PrincipalTag/AmazonDataZoneEnvironment": "*"
      }
    }
  },
    {
      "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*"
        }
      }
    },
    {
      "Sid": "Allows AOSS list keys",
      "Effect": "Allow",
      "Principal": {
        "Service": "aoss.amazonaws.com"
      },
      "Action": "kms:ListKeys",
      "Resource": "*"
    },
    {
      "Sid": "Allows AOSS to create grants",
      "Effect": "Allow",
      "Principal": {
        "Service": "aoss.amazonaws.com"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:CreateGrant"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "aoss.\{FIXME:REGION\}.amazonaws.com"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    },
    {
      "Sid": "Enable Decrypt, GenerateDataKey for DZ execution role",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:root"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:datazone:domainId": "*"
        }
      }
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RetireGrant"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:CallerAccount": "\{FIXME:ACCOUNT_ID\}"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    },
    {
      "Sid": "AllowPermissionForEncryptedGuardrailsOnProvisioningRole",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{provisioning role name\}"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:CreateGrant",
        "kms:Encrypt"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow use of CMK to encrypt logs in their account",
      "Effect": "Allow",
      "Principal": {
        "Service": "logs.\{FIXME:REGION\}.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyPair",
        "kms:GenerateDataKeyPairWithoutPlaintext",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:log-group:*"
        }
      }
    },
    {
      "Sid": "Allow access for Key Administrators",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{Admin Role Name\}"
      },
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*",
        "kms:TagResource",
        "kms:UntagResource",
        "kms:ScheduleKeyDeletion",
        "kms:CancelKeyDeletion"
      ],
      "Resource": "*"
    }
  ]
}

Per ulteriori informazioni sulla specificazione delle autorizzazioni in una politica, consulta la AWS Key Management Service Developer Guide.

Per ulteriori informazioni sulla risoluzione dei problemi di accesso tramite chiave, consulta la AWS Key Management Service Developer Guide.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Crittografia delle risorse della knowledge base

Proteggi i tuoi dati utilizzando Amazon VPC