Crittografia di modelli personalizzati importati - Amazon Bedrock
In che modo Amazon Bedrock utilizza le sovvenzioni in AWS KMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia di modelli personalizzati importati

Amazon Bedrock supporta la creazione di modelli personalizzati tramite due metodi che utilizzano entrambi lo stesso approccio di crittografia. I tuoi modelli personalizzati sono gestiti e archiviati da AWS:

  • Lavori di importazione di modelli personalizzati: per importare modelli di base open source personalizzati (come i Llama modelli Mistral AI or).

  • Crea un modello personalizzato: per importare modelli Amazon Nova che hai personalizzato in SageMaker AI.

Per la crittografia dei tuoi modelli personalizzati, Amazon Bedrock offre le seguenti opzioni:

  • AWS chiavi possedute: per impostazione predefinita, Amazon Bedrock crittografa i modelli personalizzati importati con chiavi AWS di proprietà. Non puoi visualizzare, gestire o utilizzare chiavi AWS di proprietà o controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta Chiavi di proprietà di AWS nella Guida per gli sviluppatori di AWS Key Management Service.

  • Chiavi gestite dal cliente (CMK): puoi scegliere di aggiungere un secondo livello di crittografia alle chiavi di crittografia di AWS proprietà esistenti scegliendo una chiave gestita dal cliente (CMK). Puoi creare, possedere e gestire le chiavi gestite dai clienti.

    Poiché hai il pieno controllo di questo livello di crittografia, in esso puoi eseguire le seguenti attività:

    • Stabilire e mantenere le politiche chiave

    • Stabilisci e mantieni le politiche e le sovvenzioni IAM

    • Abilita e disabilita le politiche chiave

    • Ruota il materiale crittografico chiave

    • Aggiunta di tag

    • Crea alias chiave

    • Pianifica l'eliminazione delle chiavi

    Per ulteriori informazioni, consulta la sezione Customer Managed Keys nella AWS Key Management Service Developer Guide.

Nota

Per tutti i modelli personalizzati importati, Amazon Bedrock abilita automaticamente la crittografia a riposo utilizzando chiavi AWS di proprietà per proteggere i dati dei clienti senza alcun costo. Se utilizzi una chiave gestita dal cliente, verranno AWS KMS addebitati dei costi. Per ulteriori informazioni sui prezzi, consulta la sezione AWS Key Management Service Prezzi. .

In che modo Amazon Bedrock utilizza le sovvenzioni in AWS KMS

Se specifichi una chiave gestita dal cliente per crittografare il modello importato. Amazon Bedrock crea una AWS KMS sovvenzione principale associata al modello importato per tuo conto inviando una CreateGrantrichiesta a AWS KMS. Questa concessione consente ad Amazon Bedrock di accedere e utilizzare la tua chiave gestita dal cliente. Le sovvenzioni AWS KMS vengono utilizzate per consentire ad Amazon Bedrock di accedere a una chiave KMS nell'account di un cliente.

Amazon Bedrock richiede la concessione principale per utilizzare la chiave gestita dai clienti per le seguenti operazioni interne:

  • Invia DescribeKeyrichieste per AWS KMS verificare che l'ID della chiave KMS simmetrica gestita dal cliente che hai inserito durante la creazione del lavoro sia valido.

  • Invia GenerateDataKeye AWS KMS decrittografa le richieste per generare chiavi dati crittografate dalla chiave gestita dal cliente e decrittografa le chiavi dati crittografate in modo che possano essere utilizzate per crittografare gli artefatti del modello.

  • Invia CreateGrantrichieste per AWS KMS creare concessioni secondarie circoscritte con un sottoinsieme delle operazioni precedenti (DescribeKey,,Decrypt), GenerateDataKey per l'esecuzione asincrona dell'importazione del modello e per l'inferenza su richiesta.

  • Amazon Bedrock specifica un ente pensionante durante la creazione delle sovvenzioni, in modo che il servizio possa inviare una richiesta. RetireGrant

Hai pieno accesso alla tua chiave gestita dai clienti. AWS KMS Puoi revocare l'accesso alla concessione seguendo i passaggi riportati nella sezione Ritiro e revoca delle sovvenzioni nella Guida per gli sviluppatori del servizio di gestione delle AWS chiavi o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento modificando la politica delle chiavi. In tal caso, Amazon Bedrock non sarà in grado di accedere al modello importato crittografato dalla tua chiave.

Ciclo di vita delle sovvenzioni primarie e secondarie per modelli importati personalizzati

  • Le sovvenzioni primarie hanno una lunga durata e rimangono attive finché i modelli personalizzati associati sono ancora in uso. Quando un modello importato personalizzato viene eliminato, la concessione principale corrispondente viene automaticamente ritirata.

  • Le sovvenzioni secondarie sono di breve durata. Vengono automaticamente ritirati non appena viene completata l'operazione che Amazon Bedrock esegue per conto dei clienti. Ad esempio, una volta terminato un processo di importazione di un modello personalizzato, la concessione secondaria che ha consentito ad Amazon Bedrock di crittografare il modello personalizzato importato verrà immediatamente ritirata.