Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado de recursos de bases de conocimientos
Amazon Bedrock cifra los recursos relacionados con sus bases de conocimientos. De forma predeterminada, Amazon Bedrock cifra estos datos mediante una clave administrada de AWS. Si lo desea, puede cifrar los artefactos del modelo mediante una clave administrada por el cliente.
El cifrado con una clave KMS se puede realizar mediante los siguientes procesos:
-
Almacenamiento de datos transitorio al ingerir sus orígenes de datos
-
Pasar información a OpenSearch Service si deja que Amazon Bedrock configure su base de datos vectorial
-
Consultar una base de conocimientos
Los siguientes recursos que utilizan sus bases de conocimientos se pueden cifrar con una clave KMS. Si los cifra, debe agregar permisos para descifrar la clave KMS.
-
Orígenes de datos almacenados en un bucket de Amazon S3
-
Almacenes vectoriales de terceros
Para obtener más información sobre AWS KMS keys, consulte las claves administradas por el cliente en la Guía para desarrolladores de AWS Key Management Service.
nota
Las bases de conocimientos de Amazon Bedrock utilizan el cifrado TLS para comunicarse con los almacenes vectoriales de terceros si el proveedor permite y admite el cifrado TLS en tránsito.
Temas
- Cifrado del almacenamiento de datos transitorios durante la ingesta de datos
- Cifrado de información transmitida a Amazon OpenSearch Service
- Cifrado de la recuperación de bases de conocimientos
- Permisos para descifrar la clave AWS KMS de los orígenes de datos en Amazon S3
- Permisos para descifrar un secreto de AWS Secrets Manager para el almacén vectorial que contiene su base de conocimientos
Cifrado del almacenamiento de datos transitorios durante la ingesta de datos
Al configurar un trabajo de ingesta de datos para su base de conocimientos, puede cifrar el trabajo con una clave KMS personalizada.
Para permitir la creación de una clave AWS KMS para el almacenamiento de datos transitorio en el proceso de ingesta de su origen de datos, adjunte la siguiente política a su rol de servicio en Amazon Bedrock. Sustituya region, account-id y key-id por los valores correspondientes.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }
Cifrado de información transmitida a Amazon OpenSearch Service
Si opta por permitir que Amazon Bedrock cree un almacén vectorial en Amazon OpenSearch Service para su base de conocimientos, Amazon Bedrock puede pasar la clave KMS que elija a Amazon OpenSearch Service para su cifrado. Para obtener más información sobre el cifrado en Amazon OpenSearch Service, consulte Cifrado en Amazon OpenSearch Service.
Cifrado de la recuperación de bases de conocimientos
Puede cifrar las sesiones en las que se generan respuestas al consultar una base de conocimientos con una clave KMS. Para ello, incluya el ARN de una clave KMS en el campo kmsKeyArn cuando realice una solicitud RetrieveAndGenerate. Asocie la siguiente política, sustituyendo los valores según corresponda para permitir que Amazon Bedrock cifre el contexto de la sesión.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:region:account-id:key/key-id} ] }
Permisos para descifrar la clave AWS KMS de los orígenes de datos en Amazon S3
Almacena los orígenes de datos de su base de conocimientos en su bucket de Amazon S3. Para cifrar estos documentos en reposo, puede utilizar la opción de cifrado del lado del servidor de Amazon S3 SSE-S3. Con esta opción, los objetos se cifran con claves de servicio administradas por el servicio Amazon S3.
Para obtener más información, consulte Protección de datos mediante el cifrado del lado del servidor con las claves de cifrado administradas por Amazon S3 (SSE-S3) en la Guía del usuario de Amazon Simple Storage Service.
Si ha cifrado sus orígenes de datos en Amazon S3 con una clave AWS KMS personalizada, adjunte la siguiente política a su rol de servicio de Amazon Bedrock para que Amazon Bedrock pueda descifrar la clave. Sustituya region y account-id por la región y el identificador de cuenta a los que pertenece la clave. Sustituya key-id por el identificador de su clave de AWS KMS.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "KMS:Decrypt", ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.region.amazonaws.com" ] } } }] }
Permisos para descifrar un secreto de AWS Secrets Manager para el almacén vectorial que contiene su base de conocimientos
Si el almacén vectorial que contiene su base de conocimientos está configurado con un secreto de AWS Secrets Manager, puede cifrarlo con una clave AWS KMS personalizada siguiendo los pasos que se indican en Cifrado y descifrado de secretos en AWS Secrets Manager.
Si lo hace, asocie la siguiente política a su rol de servicio de Amazon Bedrock para que pueda descifrar su clave. Sustituya region y account-id por la región y el identificador de cuenta a los que pertenece la clave. Sustituya key-id por el identificador de su clave de AWS KMS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }
