As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia de tarefas e artefatos de personalização de modelos
Por padrão, o Amazon Bedrock criptografa os seguintes artefatos de modelo de seus trabalhos de personalização de modelos com uma chave gerenciada. AWS
-
O trabalho de personalização do modelo
-
Os arquivos de saída (métricas de treinamento e validação) do trabalho de personalização do modelo
-
O modelo personalizado resultante
Opcionalmente, você pode criptografar os artefatos do modelo criando uma chave gerenciada pelo cliente. Para obter mais informações sobre AWS KMS keys, consulte Chaves gerenciadas pelo cliente no Guia do AWS Key Management Service desenvolvedor. Para usar uma chave gerenciada pelo cliente, execute as etapas a seguir.
-
Crie uma chave gerenciada pelo cliente com AWS Key Management Service o.
-
Anexe uma política baseada em recursos com permissões para que as funções especificadas criem ou usem modelos personalizados.
Tópicos
Criação de uma chave gerenciada pelo cliente
Primeiro, verifique se você tem CreateKey permissões. Em seguida, siga as etapas em Criação de chaves para criar uma chave gerenciada pelo cliente no AWS KMS console ou na operação da CreateKeyAPI. Crie uma chave de criptografia simétrica.
A criação da chave retorna um Arn para a chave que você pode usar como chave customModelKmsKeyId ao enviar um trabalho de personalização do modelo.
Crie uma política de chaves e anexe-a à chave gerenciada pelo cliente
Anexe a seguinte política baseada em recursos à chave KMS seguindo as etapas em Criação de uma política de chaves. A política contém duas declarações.
-
Permissões para uma função criptografar artefatos de personalização do modelo. Adicione ARNs de funções personalizadas de criador de modelos ao
Principalcampo. -
Permissões para que uma função use um modelo personalizado na inferência. Adicione ARNs de funções de usuário do modelo personalizado ao
Principalcampo.
{ "Version": "2012-10-17", "Id": "KMS Key Policy", "Statement": [ { "Sid": "Permissions for custom model builders", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "Permissions for custom model users", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id:user/role" }, "Action": "kms:Decrypt", "Resource": "*" } }
Criptografia de dados de treinamento, validação e saída
Ao usar o Amazon Bedrock para executar um trabalho de personalização de modelo, você armazena os arquivos de entrada (dados de treinamento/validação) em seu bucket do Amazon S3. Quando o trabalho é concluído, o Amazon Bedrock armazena os arquivos de métricas de saída no bucket do S3 que você especificou ao criar o trabalho e os artefatos do modelo personalizado resultantes em um bucket do Amazon S3 controlado por. AWS
Os arquivos de entrada e saída são criptografados com a criptografia do lado do servidor Amazon S3 SSE-S3 por padrão, usando um. Chave gerenciada pela AWS Esse tipo de chave é criado, gerenciado e usado em seu nome pelo AWS.
Em vez disso, você pode optar por criptografar esses arquivos com uma chave gerenciada pelo cliente que você mesmo cria, possui e gerencia. Consulte as seções anteriores e os links a seguir para saber como criar chaves gerenciadas pelo cliente e políticas de chaves.
-
Para saber mais sobre chaves gerenciadas pelo cliente para criptografar objetos do S3, consulte Usando criptografia do lado do servidor com AWS chaves KMS (SSE-KMS)
