Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung von Wissensdatenbankressourcen
Amazon Bedrock verschlüsselt Ressourcen, die sich auf Ihre Wissensdatenbanken beziehen. Standardmäßig verschlüsselt Amazon Bedrock diese Daten mit einem AWS verwalteten Schlüssel. Optional können Sie die Modellartefakte mit einem kundenverwalteten Schlüssel verschlüsseln.
Die Verschlüsselung mit einem KMS Schlüssel kann mit den folgenden Prozessen erfolgen:
-
Vorübergehende Datenspeicherung während der Erfassung Ihrer Datenquellen
-
Weitergabe von Informationen an den OpenSearch Service, wenn Sie Amazon Bedrock die Einrichtung Ihrer Vektordatenbank überlassen
-
Abfragen einer Wissensdatenbank
Die folgenden Ressourcen, die von Ihren Wissensdatenbanken verwendet werden, können mit einem KMS Schlüssel verschlüsselt werden. Wenn Sie sie verschlüsseln, müssen Sie Berechtigungen hinzufügen, um den Schlüssel zu entschlüsseln. KMS
-
In einem Amazon-S3-Bucket gespeicherte Datenquellen
-
Vektorspeicher von Drittanbietern
Weitere Informationen dazu finden Sie unter AWS KMS keys Vom Kunden verwaltete Schlüssel im AWS Key Management Service Entwicklerhandbuch.
Anmerkung
Amazon Bedrock Knowledge Bases verwendet TLS Verschlüsselung für die Kommunikation mit Vector Stores von Drittanbietern, sofern der Anbieter die TLS Verschlüsselung bei der Übertragung zulässt und unterstützt.
Themen
- Verschlüsselung der vorübergehenden Datenspeicherung während der Datenerfassung
- Verschlüsselung von Informationen, die an Amazon OpenSearch Service weitergegeben werden
- Verschlüsselung von Wissensdatenbankabrufen
- Berechtigungen zum Entschlüsseln Ihres AWS KMS Schlüssels für Ihre Datenquellen in Amazon S3
- Berechtigungen zum Entschlüsseln eines AWS Secrets Manager Geheimnisses für den Vektorspeicher, der Ihre Wissensdatenbank enthält
Verschlüsselung der vorübergehenden Datenspeicherung während der Datenerfassung
Wenn Sie einen Datenerfassungsauftrag für Ihre Wissensdatenbank einrichten, können Sie den Job mit einem benutzerdefinierten Schlüssel verschlüsseln. KMS
Um die Erstellung eines AWS KMS Schlüssels für die Speicherung vorübergehender Daten während der Aufnahme Ihrer Datenquelle zu ermöglichen, fügen Sie Ihrer Amazon Bedrock-Servicerolle die folgende Richtlinie bei. Ersetzen Sie das region
, account-id
, und key-id
durch die entsprechenden Werte.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
region
:account-id
:key/key-id
" ] } ] }
Verschlüsselung von Informationen, die an Amazon OpenSearch Service weitergegeben werden
Wenn Sie sich dafür entscheiden, Amazon Bedrock in Amazon OpenSearch Service einen Vector Store für Ihre Wissensdatenbank erstellen zu lassen, kann Amazon Bedrock einen von Ihnen KMS ausgewählten Schlüssel zur Verschlüsselung an Amazon OpenSearch Service weitergeben. Weitere Informationen zur Verschlüsselung in Amazon OpenSearch Service finden Sie unter Verschlüsselung in Amazon OpenSearch Service.
Verschlüsselung von Wissensdatenbankabrufen
Sie können Sitzungen verschlüsseln, in denen Sie Antworten generieren, indem Sie eine Wissensdatenbank mit einem KMS Schlüssel abfragen. Geben Sie dazu bei der Anfrage den ARN Wert eines KMS Schlüssels in das kmsKeyArn
Feld ein RetrieveAndGenerate. Fügen Sie die folgende Richtlinie bei und ersetzen Sie die values
angemessen, damit Amazon Bedrock den Sitzungskontext verschlüsseln kann.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
} ] }
Berechtigungen zum Entschlüsseln Ihres AWS KMS Schlüssels für Ihre Datenquellen in Amazon S3
Sie speichern die Datenquellen für Ihre Wissensdatenbank in Ihrem Amazon-S3-Bucket. Um diese Dokumente im Ruhezustand zu verschlüsseln, können Sie die serverseitige Verschlüsselungsoption Amazon SSE S3 -S3 verwenden. Mit dieser Option werden Objekte mit Serviceschlüsseln verschlüsselt, die vom Amazon-S3-Service verwaltet werden.
Weitere Informationen finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung mit von Amazon SSE S3 verwalteten Verschlüsselungsschlüsseln (-S3) im Amazon Simple Storage Service-Benutzerhandbuch.
Wenn Sie Ihre Datenquellen in Amazon S3 mit einem benutzerdefinierten AWS KMS Schlüssel verschlüsselt haben, fügen Sie Ihrer Amazon Bedrock-Servicerolle die folgende Richtlinie bei, damit Amazon Bedrock Ihren Schlüssel entschlüsseln kann. Ersetzen region
and account-id
mit der Region und der Konto-ID, zu der der Schlüssel gehört. Ersetzen key-id
mit der ID Ihres AWS KMS Schlüssels.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "KMS:Decrypt", ], "Resource": [ "arn:aws:kms:
region
:account-id
:key/key-id
" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.region
.amazonaws.com" ] } } }] }
Berechtigungen zum Entschlüsseln eines AWS Secrets Manager Geheimnisses für den Vektorspeicher, der Ihre Wissensdatenbank enthält
Wenn der Vektorspeicher, der Ihre Wissensdatenbank enthält, mit einem AWS Secrets Manager Geheimnis konfiguriert ist, können Sie das Geheimnis mit einem benutzerdefinierten AWS KMS Schlüssel verschlüsseln, indem Sie die Schritte unter Verschlüsselung und Entschlüsselung von Geheimnissen unter befolgen. AWS Secrets Manager
Fügen Sie Ihrer Amazon-Bedrock-Servicerolle in diesem Fall die folgende Richtlinie an, damit sie Ihren Schlüssel entschlüsseln kann. Ersetzen region
and account-id
mit der Region und der Konto-ID, zu der der Schlüssel gehört. Ersetzen key-id
mit der ID Ihres AWS KMS Schlüssels.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
region
:account-id
:key/key-id
" ] } ] }