本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
加密模型自訂工作和人工因素
Amazon 基岩會將訓練資料與CreateModelCustomizationJob動作搭配使用,或透過主控台來建立自訂模型,該模型是 Amazon 基礎模型的精細調校版本。您的自訂模型由管理和儲存 AWS。
Amazon 基岩只會使用您提供的微調資料來微調 Amazon 基礎模型。Amazon 基岩不會將微調數據用於任何其他目的。您的訓練資料不會用於訓練基礎Titan模型或分發給第三方。其他使用情況資料 (例如使用時間戳記、登入帳號 ID 和服務記錄的其他資訊) 也不會用於訓練模型。
一旦微調任務完成,Amazon 基岩就不會儲存您提供用於微調的訓練或驗證資料。
請注意,微調的模型可以在產生完成時重播某些微調資料。如果您的應用程式不應公開任何形式的微調資料,則應先從訓練資料中篩選出機密資料。如果您已經錯誤地使用機密資料建立了自訂模型,您可以刪除該自訂模型、從訓練資料中篩選出機密資訊,然後建立新模型。
根據預設,Amazon Bedrock 會使用擁有的 AWS受管 AWS Key Management Service 金鑰加密自訂任務中產生的自訂模型。 AWS 或者,您可以透過建立客戶管理的金鑰來加密模型。如需詳細資訊 AWS KMS keys,請參閱AWS Key Management Service 開發人員指南中的客戶管理金鑰。若要使用客戶管理的金鑰,請執行下列步驟。
-
使用建立客戶管理的金鑰 AWS Key Management Service。
-
附加以資源為基礎的策略,並具有指定角色的權限,以建立或使用自訂模型。
建立客戶受管金鑰
首先,請確保您具有CreateKey
權限。然後依照建立金鑰中的步驟,在 AWS KMS 主控台或 CreateKeyAPI 作業中建立客戶受管金鑰。請確保建立對稱加密金鑰。
建立金鑰會傳回您在Arn
提交模型自訂工作customModelKmsKeyId時可用來作為金鑰的金鑰。
建立金鑰政策並將其附加至客戶管理的金鑰
遵循建立金鑰原則中的步驟,將下列以資源為基礎的原則附加至 KMS 金鑰。該策略包含兩個陳述式。
-
角色用於加密模型自訂成品的權限。將自訂模型產生器角色的 ARN 新增至
Principal
欄位。 -
角色在推論中使用自訂模型的權限。將自訂模型使用者角色的 ARN 新增至
Principal
欄位。
{ "Version": "2012-10-17", "Id": "KMS Key Policy", "Statement": [ { "Sid": "
Permissions for custom model builders
", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id
:user/role
" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant" ], "Resource": "*" }, { "Sid": "Permissions for custom model users
", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-id
:user/role
" }, "Action": "kms:Decrypt", "Resource": "*" } }
加密訓練、驗證和輸出資料
當您使用 Amazon 基岩執行模型自訂任務時,您會將輸入檔案存放在 Amazon S3 儲存貯體中。任務完成後,Amazon Bdrock 會將輸出指標檔案存放在您在建立任務時指定的 S3 儲存貯體,並將產生的自訂模型成品存放在由控制的 S3 儲存貯體中。 AWS
輸出檔案會使用 S3 儲存貯體的加密組態加密。這些加密可以使用 SSE-S3 伺服器端加密或 AWS KMS SSE-KMS 加密,視您設定 S3 儲存貯體的方式而定。