本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用客戶受管金鑰 (CMK)
如果您打算使用客戶受管金鑰來加密自訂匯入的模型,請完成下列步驟:
-
使用 建立客戶受管金鑰 AWS Key Management Service。
-
連接具有指定角色許可的資源型政策,以建立和使用自訂匯入模型。
建立客戶受管金鑰
首先,請確定您擁有 CreateKey許可。然後遵循建立金鑰的步驟,在 AWS KMS 主控台或 CreateKey API 操作中建立客戶受管金鑰。請確保建立對稱加密金鑰。
建立金鑰會Arn針對金鑰傳回 ,您可以在使用自訂模型匯入匯入自訂模型importedModelKmsKeyId 時用作 。
建立金鑰政策並將其連接到客戶受管金鑰
金鑰政策是您連接到客戶受管金鑰以控制其存取的資源型政策。每個客戶受管金鑰都必須只有一個金鑰政策,其中包含決定誰可以使用金鑰及其使用方式的陳述式。您可以在建立客戶受管金鑰時指定金鑰政策。您可以隨時修改金鑰政策,但在變更全面可用之前,可能會有短暫的延遲 AWS KMS。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的管理客戶自管金鑰的存取。
加密匯入的自訂模型
若要使用客戶受管金鑰來加密匯入的自訂模型,您必須在金鑰政策中包含下列 AWS KMS 操作:
-
kms:CreateGrant – 允許 Amazon Bedrock 服務主體透過授予操作存取指定的 KMS 金鑰,藉此為客戶受管金鑰建立授予。如需授與的詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的 中的授與 AWS KMS。
注意
Amazon Bedrock 也會設定淘汰委託人,並在不再需要授予之後自動淘汰授予。
-
kms:DescribeKey – 提供客戶受管金鑰詳細資訊,以允許 Amazon Bedrock 驗證金鑰。
-
kms:GenerateDataKey – 提供客戶受管金鑰詳細資訊,以允許 Amazon Bedrock 驗證使用者存取。Amazon Bedrock 會將產生的加密文字與匯入的自訂模型一起存放,做為匯入自訂模型使用者的額外驗證檢查
-
kms:Decrypt – 解密儲存的加密文字,以驗證角色對加密匯入自訂模型的 KMS 金鑰具有適當的存取權。
以下是您可以連接到角色金鑰的範例政策,用於加密您匯入的模型:
解密加密的匯入自訂模型
如果您要匯入已由其他客戶受管金鑰加密的自訂模型,則必須新增相同角色的kms:Decrypt許可,如下列政策所示:
