Criptografia do Amazon Bedrock Studio - Amazon Bedrock
Criar uma chave gerenciada pelo cliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia do Amazon Bedrock Studio

O Amazon Bedrock Studio está em versão prévia do Amazon Bedrock e está sujeito a alterações.

A criptografia de dados em repouso por padrão ajuda a reduzir a sobrecarga operacional e a complexidade envolvidas na proteção de dados confidenciais. Ao mesmo tempo, ela permite que você crie aplicações seguras que atendam aos rigorosos requisitos regulatórios e de conformidade de criptografia.

O Amazon Bedrock Studio usa chaves AWS de propriedade padrão para criptografar automaticamente seus dados em repouso. Você não pode visualizar, gerenciar ou auditar o uso de chaves AWS próprias. Para obter mais informações, consulte chaves AWS próprias.

Embora você não possa desativar essa camada de criptografia ou selecionar um tipo de criptografia alternativo, você pode adicionar uma segunda camada de criptografia sobre as chaves de criptografia AWS existentes escolhendo uma chave gerenciada pelo cliente ao criar seus domínios do Amazon Bedrock Studio. O Amazon Bedrock Studio oferece suporte ao uso de chaves simétricas gerenciadas pelo cliente que você pode criar, possuir e gerenciar para adicionar uma segunda camada de criptografia à criptografia existente AWS . Como você tem controle total dessa camada de criptografia, nela você pode realizar as seguintes tarefas:

  • Estabeleça e mantenha as principais políticas

  • Estabelecer e manter IAM políticas e subsídios

  • Ativar e desativar as principais políticas

  • Gire o material criptográfico da chave

  • Adicionar tags

  • Crie aliases de chave

  • Programar chaves para exclusão

Para obter mais informações, consulte Chaves gerenciadas pelo cliente.

nota

O Amazon Bedrock Studio habilita automaticamente a criptografia em repouso usando chaves AWS próprias para proteger os dados do cliente sem nenhum custo.

AWS KMScobranças se aplicam ao uso de chaves gerenciadas pelo cliente. Para obter mais informações sobre preços, consulte AWS Key Management Service Pricing.

Criar uma chave gerenciada pelo cliente

Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS KMS APIs

Para criar uma chave simétrica gerenciada pelo cliente, siga as etapas para Criar uma chave simétrica gerenciada pelo cliente no Guia do desenvolvedor do AWS Key Management Service.

Política-chave - as principais políticas controlam o acesso à sua chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, é possível especificar uma política de chaves. Para obter mais informações, consulte Gerenciando o acesso às chaves gerenciadas pelo cliente no Guia do desenvolvedor do AWS Key Management Service.

nota

Se você usar uma chave gerenciada pelo cliente, não se esqueça de marcar a AWS KMS chave com a chave EnableBedrock e um valor detrue. Para obter mais informações, consulte Como marcar chaves.

Para usar sua chave gerenciada pelo cliente com seus recursos do Amazon Bedrock Studio, as seguintes API operações devem ser permitidas na política de chaves:

  • kms: CreateGrant — adiciona uma concessão a uma chave gerenciada pelo cliente. Concede acesso de controle a uma KMS chave especificada, o que permite o acesso às operações de concessão exigidas pelo Amazon Bedrock Studio. Para obter mais informações sobre o uso de concessões, consulte o Guia do desenvolvedor do AWS Key Management Service.

  • kms: DescribeKey — fornece os detalhes da chave gerenciada pelo cliente para permitir que o Amazon Bedrock Studio valide a chave.

  • kms: GenerateDataKey — retorna uma chave de dados simétrica exclusiva para uso fora do. AWS KMS

  • kms:Decrypt — decodifica o texto cifrado que foi criptografado por uma chave. KMS

Veja a seguir um exemplo de declaração de política que você pode adicionar para o Amazon Bedrock Studio. Para usar a política, faça o seguinte:

  • \{FIXME:REGION\}Substitua as instâncias de pela AWS região que você está usando e \{FIXME:ACCOUNT_ID\} pelo ID AWS da sua conta. Os \ caracteres inválidos no JSON indicam onde você precisa fazer atualizações. Por exemplo, se "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*" tornaria "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:use-east-1:111122223333:agent/*"

  • Altere \{provisioning role name\} o nome da função de aprovisionamento que você usará para o espaço de trabalho que usa a chave.

  • Mude \{Admin Role Name\} para o nome da IAM função que terá privilégios administrativos para a chave.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "Enable IAM User Permissions Based on Tags",
    "Effect": "Allow",
    "Principal": {
      "AWS": "*"
    },
    "Action": [
      "kms:Decrypt",
      "kms:GenerateDataKey",
      "kms:GenerateDataKeyPair",
      "kms:GenerateDataKeyPairWithoutPlaintext",
      "kms:GenerateDataKeyWithoutPlaintext",
      "kms:Encrypt"
    ],
    "Resource": "\{FIXME:KMS_ARN\}",
    "Condition": {
      "StringEquals": {
        "aws:PrincipalTag/AmazonBedrockManaged": "true",
        "kms:CallerAccount" : "\{FIXME:ACCOUNT_ID\}"
      },
      "StringLike": {
        "aws:PrincipalTag/AmazonDataZoneEnvironment": "*"
      }
    }
  },
    {
      "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*"
        }
      }
    },
    {
      "Sid": "Allows AOSS list keys",
      "Effect": "Allow",
      "Principal": {
        "Service": "aoss.amazonaws.com"
      },
      "Action": "kms:ListKeys",
      "Resource": "*"
    },
    {
      "Sid": "Allows AOSS to create grants",
      "Effect": "Allow",
      "Principal": {
        "Service": "aoss.amazonaws.com"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:CreateGrant"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "aoss.\{FIXME:REGION\}.amazonaws.com"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    },
    {
      "Sid": "Enable Decrypt, GenerateDataKey for DZ execution role",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:root"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:datazone:domainId": "*"
        }
      }
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RetireGrant"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:CallerAccount": "\{FIXME:ACCOUNT_ID\}"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    },
    {
      "Sid": "AllowPermissionForEncryptedGuardrailsOnProvisioningRole",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{provisioning role name\}"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:CreateGrant",
        "kms:Encrypt"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow use of CMK to encrypt logs in their account",
      "Effect": "Allow",
      "Principal": {
        "Service": "logs.\{FIXME:REGION\}.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyPair",
        "kms:GenerateDataKeyPairWithoutPlaintext",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:log-group:*"
        }
      }
    },
    {
      "Sid": "Allow access for Key Administrators",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{Admin Role Name\}"
      },
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*",
        "kms:TagResource",
        "kms:UntagResource",
        "kms:ScheduleKeyDeletion",
        "kms:CancelKeyDeletion"
      ],
      "Resource": "*"
    }
  ]
}

Para obter mais informações sobre a especificação de permissões em uma política, consulte o Guia do desenvolvedor do AWS Key Management Service.

Para obter mais informações sobre como solucionar problemas de acesso à chave, consulte o Guia do desenvolvedor do AWS Key Management Service.