翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
モデルカスタマイズジョブとアーティファクトの暗号化
デフォルトでは、Amazon Bedrock はモデルカスタマイズジョブからの以下のモデルアーティファクトを管理キーで暗号化します。 AWS
-
モデルカスタマイズジョブ
-
モデルカスタマイズジョブの出力ファイル (トレーニングメトリクスと検証メトリクス)
-
結果のカスタムモデル
オプションで、顧客管理キーを作成してモデルアーティファクトを暗号化できます。詳細については AWS KMS keys、『AWS Key Management Service 開発者ガイド』の「カスタマー管理キー」を参照してください。カスタマー管理キーを使用するには、以下の手順を実行してください。
-
を使用してカスタマー管理キーを作成します AWS Key Management Service。
-
指定されたロールの権限を含むリソースベースのポリシーをアタッチして、カスタムモデルを作成または使用します。
カスタマーマネージド キーを作成する
まず、権限があることを確認します。CreateKey次に、「キーの作成」の手順に従って、 AWS KMS コンソールまたは CreateKeyAPI オペレーションでカスタマー管理キーを作成します。必ず対称暗号化キーを作成してください。
キーを作成すると、ArncustomModelKmsKeyIdモデルカスタマイズジョブの送信時にとして使用できるキー用のが返されます。
キーポリシーを作成し、カスタマー管理キーに添付します。
「キーポリシーの作成」の手順に従って、次のリソースベースのポリシーを KMS キーにアタッチします。ポリシーには 2 つのステートメントが含まれています。
-
モデルカスタマイズアーティファクトを暗号化するロールの権限。カスタムモデルビルダーロールの ARN をフィールドに追加します。
Principal -
推論にカスタムモデルを使用するロールの権限。カスタムモデルのユーザーロールの ARN をフィールドに追加します。
Principal
{ "Version": "2012-10-17", "Id": "KMS Key Policy", "Statement": [ { "Sid": "Permissions for custom model builders", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "Permissions for custom model users", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": "kms:Decrypt", "Resource": "*" } }
トレーニング、検証、出力データの暗号化
Amazon Bedrock を使用してモデルカスタマイズジョブを実行する場合、入力 (トレーニング/検証データ) ファイルを Amazon S3 バケットに保存します。ジョブが完了すると、Amazon Bedrock は出力メトリックスファイルをジョブの作成時に指定した S3 バケットに保存し、結果のカスタムモデルアーティファクトはが制御する Amazon S3 バケットに保存します。 AWS
入力ファイルと出力ファイルは、デフォルトで Amazon S3 SSE-S3 サーバー側の暗号化を使用して暗号化されます。AWS マネージドキーこのタイプのキーは、ユーザーに代わって作成、管理、使用されます。 AWS
代わりに、自分で作成、所有、管理する顧客管理鍵を使用してこれらのファイルを暗号化することもできます。カスタマー管理キーとキーポリシーの作成方法については、前のセクションと以下のリンクを参照してください。
-
Amazon S3 SSE-S3 サーバー側の暗号化の詳細については、「Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3) の使用」を参照してください。
-
S3 オブジェクトを暗号化するためのカスタマーマネージドキーの詳細については、「KMS キーによるサーバー側の暗号化 (SSE-KMS) の使用」を参照してください。 AWS
