기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon 베드락 스튜디오의 암호화
Amazon Bedrock Studio는 Amazon Bedrock의 프리뷰 출시 중이며 변경될 수 있습니다. |
저장 데이터를 기본적으로 암호화하면 민감한 데이터 보호와 관련된 운영 오버헤드와 복잡성을 줄이는 데 도움이 됩니다. 동시에 엄격한 암호화 규정 준수 및 규제 요구 사항을 충족하는 안전한 애플리케이션을 구축할 수 있습니다.
Amazon Bedrock Studio는 기본 AWS소유 키를 사용하여 저장된 데이터를 자동으로 암호화합니다. 소유한 키의 사용을 보거나, 관리하거나, 감사할 수 없습니다. AWS 자세한 내용은 AWS 소유 키를 참조하십시오.
이 암호화 계층을 비활성화하거나 다른 암호화 유형을 선택할 수는 없지만 Amazon Bedrock Studio 도메인을 생성할 때 고객 관리 키를 선택하여 기존 AWS 소유 암호화 키 위에 두 번째 암호화 계층을 추가할 수 있습니다. Amazon Bedrock Studio는 생성, 소유 및 관리하여 기존 AWS 소유 암호화에 두 번째 암호화 계층을 추가할 수 있는 대칭형 고객 관리 키의 사용을 지원합니다. 이 암호화 계층을 완전히 제어할 수 있으므로 이 계층에서 다음 작업을 수행할 수 있습니다.
-
키 정책 수립 및 유지
-
IAM정책 및 보조금 수립 및 유지
-
주요 정책 활성화 및 비활성화
-
주요 암호화 자료 교체
-
태그 추가
-
키 별칭 생성
-
삭제를 위한 스케줄 키
자세한 내용은 고객 관리 키를 참조하십시오.
참고
Amazon Bedrock Studio는 AWS 소유 키를 사용하여 저장된 데이터를 자동으로 암호화하여 고객 데이터를 무료로 보호합니다.
AWS KMS고객 관리 키 사용 시 요금이 부과됩니다. 요금에 대한 자세한 내용은 AWS 키 관리 서비스 요금을
고객 관리형 키 생성
관리 콘솔 또는 를 사용하여 대칭 고객 AWS 관리 키를 생성할 수 있습니다. AWS KMS APIs
대칭 고객 관리 키를 생성하려면 키 관리 서비스 개발자 가이드의 대칭 고객 관리 AWS 키 생성 단계를 따르세요.
키 정책 - 키 정책은 고객 관리 키에 대한 액세스를 제어합니다. 모든 고객 관리형 키에는 키를 사용할 수 있는 사람과 키를 사용하는 방법을 결정하는 문장이 포함된 정확히 하나의 키 정책이 있어야 합니다. 고객 관리형 키를 생성할 때 키 정책을 지정할 수 있습니다. 자세한 내용은 키 관리 서비스 개발자 가이드의 고객 관리 키에 AWS 대한 액세스 관리를 참조하십시오.
참고
고객 관리 키를 사용하는 경우 키에 AWS KMS 키와 값을 태그해야 true 합니다. EnableBedrock 자세한 내용은 키 태깅을 참조하십시오.
Amazon Bedrock Studio 리소스와 함께 고객 관리형 키를 사용하려면 키 정책에서 다음 API 작업을 허용해야 합니다.
-
kms: CreateGrant — 고객 관리 키에 권한 부여를 추가합니다. 지정된 KMS 키에 대한 제어 액세스 권한을 부여하여 Amazon Bedrock Studio에 필요한 권한 부여 작업에 액세스할 수 있습니다. Grants 사용에 대한 자세한 내용은 AWS 키 관리 서비스 개발자 안내서를 참조하십시오.
-
kms: DescribeKey — Amazon Bedrock Studio에서 키를 검증할 수 있도록 고객 관리형 키 세부 정보를 제공합니다.
-
kms: GenerateDataKey — 외부에서 사용할 고유한 대칭 데이터 키를 반환합니다. AWS KMS
-
KMS:Decrypt — 키로 암호화된 암호문을 해독합니다. KMS
다음은 Amazon Bedrock Studio에 추가할 수 있는 정책 설명 예제입니다. 정책을 사용하려면 다음과 같이 하십시오.
-
의
\{FIXME:REGION\}인스턴스를 사용 중인 AWS 지역 및 AWS 계정\{FIXME:ACCOUNT_ID\}ID로 바꾸십시오. 잘못된\문자는 업데이트가 필요한 위치를 JSON 나타냅니다. 예를 들어"kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*"다음과 같습니다."kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:use-east-1:111122223333:agent/*" -
키를 사용하는 작업 영역에 사용할 프로비전 역할의 이름으로
\{provisioning role name\}변경하십시오. \{Admin Role Name\}키에 대한 관리 권한을 갖게 될 IAM 역할의 이름으로 변경하십시오.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "Enable IAM User Permissions Based on Tags", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyPair", "kms:GenerateDataKeyPairWithoutPlaintext", "kms:GenerateDataKeyWithoutPlaintext", "kms:Encrypt" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringEquals": { "aws:PrincipalTag/AmazonBedrockManaged": "true", "kms:CallerAccount" : "\{FIXME:ACCOUNT_ID\}" }, "StringLike": { "aws:PrincipalTag/AmazonDataZoneEnvironment": "*" } } }, { "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringLike": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*" } } }, { "Sid": "Allows AOSS list keys", "Effect": "Allow", "Principal": { "Service": "aoss.amazonaws.com" }, "Action": "kms:ListKeys", "Resource": "*" }, { "Sid": "Allows AOSS to create grants", "Effect": "Allow", "Principal": { "Service": "aoss.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringEquals": { "kms:ViaService": "aoss.\{FIXME:REGION\}.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "Enable Decrypt, GenerateDataKey for DZ execution role", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:root" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "\{FIXME:KMS_ARN\}", "Condition": { "StringLike": { "kms:EncryptionContext:aws:datazone:domainId": "*" } } }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RetireGrant" ], "Resource": "*", "Condition": { "StringLike": { "kms:CallerAccount": "\{FIXME:ACCOUNT_ID\}" }, "Bool": { "kms:GrantIsForAWSResource": "true" } } }, { "Sid": "AllowPermissionForEncryptedGuardrailsOnProvisioningRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{provisioning role name\}" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey", "kms:CreateGrant", "kms:Encrypt" ], "Resource": "*" }, { "Sid": "Allow use of CMK to encrypt logs in their account", "Effect": "Allow", "Principal": { "Service": "logs.\{FIXME:REGION\}.amazonaws.com" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKey", "kms:GenerateDataKeyPair", "kms:GenerateDataKeyPairWithoutPlaintext", "kms:GenerateDataKeyWithoutPlaintext", "kms:DescribeKey" ], "Resource": "*", "Condition": { "ArnLike": { "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:log-group:*" } } }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{Admin Role Name\}" }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" } ] }
정책에서 권한을 지정하는 방법에 대한 자세한 내용은 AWS 키 관리 서비스 개발자 안내서를 참조하십시오.
키 액세스 문제 해결에 대한 자세한 내용은 AWS 키 관리 서비스 개발자 안내서를 참조하십시오.
