翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Bedrock Studio の暗号化
Amazon Bedrock Studio は Amazon Bedrock のプレビューリリースであり、変更される可能性があります。 |
保管中のデータをデフォルトで暗号化することで、機密データの保護におけるオーバーヘッドと複雑な作業を減らすのに役立ちます。同時に、セキュリティを重視したアプリケーションを構築して、暗号化のコンプライアンスと規制の厳格な要件を満たすことができます。
Amazon Bedrock Studio は、デフォルトの AWS所有キーを使用して、保管中のデータを自動的に暗号化します。 AWS 所有キーの使用を表示、管理、または監査することはできません。詳細については、「 AWS 所有キー」を参照してください。
この暗号化レイヤーを無効にしたり、代替の暗号化タイプを選択したりすることはできませんが、Amazon Bedrock Studio ドメインの作成時にカスタマーマネージドキーを選択することで、既存の AWS 所有の暗号化キーに 2 つ目の暗号化レイヤーを追加できます。Amazon Bedrock Studio では、対称カスタマーマネージドキーの使用がサポートされています。このキーを作成、所有、管理して、既存の AWS 所有の暗号化に 2 つ目の暗号化レイヤーを追加できます。この暗号化レイヤーは完全に制御できるため、このレイヤーで次のタスクを実行できます。
-
キーポリシーの確立と維持
-
IAM ポリシーと許可を確立して維持する
-
キーポリシーの有効化と無効化
-
キー暗号化マテリアルのローテーション
-
タグを追加する
-
キーエイリアスの作成
-
削除のキーをスケジュールする
詳細については、「カスタマーマネージドキー」を参照してください。
注記
Amazon Bedrock Studio は、 AWS 所有キーを使用して保管時の暗号化を自動的に有効にし、顧客データを無償で保護します。
AWS KMS カスタマーマネージドキーの使用には 料金が適用されます。料金の詳細については、AWS 「 Key Management Service の料金
カスタマーマネージドキーを作成する
対称カスタマーマネージドキーは、 AWS マネジメントコンソール、または AWS KMS を使用して作成できますAPIs。
対称カスタマーマネージドキーを作成するには、「 Key Management Service デベロッパーガイド」の「対称カスタマーマネージド AWS キーの作成」のステップに従います。
キーポリシー - キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。カスタマーマネージドキーを作成する際に、キーポリシーを指定することができます。詳細については、「 Key Management Service デベロッパーガイド」の「カスタマーマネージドキーへのアクセスの管理」を参照してください。 AWS
注記
カスタマーマネージドキーを使用する場合は、キーに AWS KMS キーEnableBedrockと の値でタグ付けしてくださいtrue。詳細については、「キーのタグ付け」を参照してください。
Amazon Bedrock Studio リソースでカスタマーマネージドキーを使用するには、キーポリシーで次のAPIオペレーションを許可する必要があります。
-
kms:CreateGrant – は、カスタマーマネージドキーに許可を追加します。指定されたKMSキーへのアクセスを制御する権限を付与します。これにより、Amazon Bedrock Studio が必要とする許可オペレーションへのアクセスを許可します。グラントの使用の詳細については、 AWS 「 Key Management Service デベロッパーガイド」を参照してください。
-
kms:DescribeKey – は、Amazon Bedrock Studio がキーを検証できるように、カスタマーマネージドキーの詳細を提供します。
-
kms:GenerateDataKey – は、 の外部で使用する一意の対称データキーを返します AWS KMS。
-
kms:Decrypt – KMSキーによって暗号化された暗号文を復号します。
以下は、Amazon Bedrock Studio に追加できるポリシーステートメントの例です。ポリシーを使用するには、次の手順を実行します。
-
のインスタンスを使用中の AWS リージョン
\{FIXME:REGION\}に置き換え、 を AWS アカウント ID\{FIXME:ACCOUNT_ID\}に置き換えます。の無効な\文字は、更新する必要がある場所JSONを示します。例えば"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*"、 は になります。"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:use-east-1:111122223333:agent/*" -
キーを使用するワークスペースに使用するプロビジョニングロールの名前
\{provisioning role name\}に変更します。 キーの管理権限を持つIAMロールの名前
\{Admin Role Name\}に変更します。
{ "Version": "2012-10-17", "Statement": [{ "Sid": "Enable IAM User Permissions Based on Tags", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyPair", "kms:GenerateDataKeyPairWithoutPlaintext", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringEquals": { "aws:PrincipalTag/AmazonBedrockManaged": "true", "kms:CallerAccount" : "\{FIXME:ACCOUNT_ID\}" }, "StringLike": { "aws:PrincipalTag/AmazonDataZoneEnvironment": "*" } } }, { "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringLike": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*" } } }, { "Sid": "Allows AOSS list keys", "Effect": "Allow", "Principal": { "Service": "aoss.amazonaws.com" }, "Action": "kms:ListKeys", "Resource": "*" }, { "Sid": "Allows AOSS to create grants", "Effect": "Allow", "Principal": { "Service": "aoss.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringEquals": { "kms:ViaService": "aoss.\{FIXME:REGION\}.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "Enable Decrypt, GenerateDataKey for DZ execution role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:root" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringLike": { "kms:EncryptionContext:aws:datazone:domainId": "*" } } }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RetireGrant" ], "Resource": "*", "Condition": { "StringLike": { "kms:CallerAccount": "\{FIXME:ACCOUNT_ID\}" }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "AllowPermissionForEncryptedGuardrailsOnProvisioningRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{provisioning role name\}" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey", "kms:CreateGrant", "kms:Encrypt" ], "Resource": "*" }, { "Sid": "Allow use of CMK to encrypt logs in their account", "Effect": "Allow", "Principal": { "Service": "logs.\{FIXME:REGION\}.amazonaws.com" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKey", "kms:GenerateDataKeyPair", "kms:GenerateDataKeyPairWithoutPlaintext", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey" ], "Resource": "*", "Condition": { "ArnLike": { "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:log-group:*" } } }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{Admin Role Name\}" }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" } ] }
ポリシー でアクセス許可を指定する方法の詳細については、 AWS 「 Key Management Service デベロッパーガイド」を参照してください。
キーアクセスのトラブルシューティングの詳細については、 AWS 「 Key Management Service デベロッパーガイド」を参照してください。
