Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado de recursos de bases de conocimientos
Amazon Bedrock cifra los recursos relacionados con sus bases de conocimientos. De forma predeterminada, Amazon Bedrock cifra estos datos mediante una clave AWS gestionada. Si lo desea, puede cifrar los artefactos del modelo mediante una clave administrada por el cliente.
El cifrado con una KMS clave se puede realizar con los siguientes procesos:
-
Almacenamiento de datos transitorio al ingerir sus orígenes de datos
-
Pasar información al OpenSearch Servicio si dejas que Amazon Bedrock configure tu base de datos vectoriales
-
Consultar una base de conocimientos
Los siguientes recursos utilizados en sus bases de conocimiento se pueden cifrar con una KMS clave. Si los cifra, tendrá que añadir permisos para descifrar la KMS clave.
-
Orígenes de datos almacenados en un bucket de Amazon S3
-
Almacenes vectoriales de terceros
Para obtener más información AWS KMS keys, consulte las claves administradas por el cliente en la Guía AWS Key Management Service para desarrolladores.
nota
Las bases de conocimiento de Amazon Bedrock utilizan el TLS cifrado para comunicarse con tiendas de vectores de terceros cuando el proveedor permite y admite el TLS cifrado en tránsito.
Temas
- Cifrado del almacenamiento de datos transitorios durante la ingesta de datos
- Cifrado de la información transferida a Amazon OpenSearch Service
- Cifrado de la recuperación de bases de conocimientos
- Permisos para descifrar la AWS KMS clave de las fuentes de datos en Amazon S3
- Permisos para descifrar un AWS Secrets Manager secreto para el almacén de vectores que contiene tu base de conocimientos
Cifrado del almacenamiento de datos transitorios durante la ingesta de datos
Al configurar un trabajo de ingesta de datos para su base de conocimientos, puede cifrarlo con una clave personalizada. KMS
Para permitir la creación de una AWS KMS clave para el almacenamiento transitorio de datos en el proceso de ingesta de su fuente de datos, adjunte la siguiente política a su función de servicio de Amazon Bedrock. Sustituya la region, account-id, y key-id por los valores adecuados.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }
Cifrado de la información transferida a Amazon OpenSearch Service
Si opta por permitir que Amazon Bedrock cree una tienda vectorial en Amazon OpenSearch Service para su base de conocimientos, Amazon Bedrock puede pasar la KMS clave que elija a Amazon OpenSearch Service para el cifrado. Para obtener más información sobre el cifrado en Amazon OpenSearch Service, consulta Cifrado en Amazon OpenSearch Service.
Cifrado de la recuperación de bases de conocimientos
Puede cifrar las sesiones en las que genere respuestas consultando una base de conocimientos con una KMS clave. Para ello, incluya una KMS clave en el kmsKeyArn campo al realizar una RetrieveAndGeneratesolicitud. ARN Adjunte la siguiente política, sustituyendo la values adecuadamente para permitir que Amazon Bedrock cifre el contexto de la sesión.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:region:account-id:key/key-id} ] }
Permisos para descifrar la AWS KMS clave de las fuentes de datos en Amazon S3
Almacena los orígenes de datos de su base de conocimientos en su bucket de Amazon S3. Para cifrar estos documentos en reposo, puede utilizar la opción de cifrado del lado del servidor Amazon SSE S3 -S3. Con esta opción, los objetos se cifran con claves de servicio administradas por el servicio Amazon S3.
Para obtener más información, consulte Protección de datos mediante el cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3) en la Guía del usuario de Amazon Simple Storage Service.
Si ha cifrado sus fuentes de datos en Amazon S3 con una AWS KMS clave personalizada, adjunte la siguiente política a su función de servicio de Amazon Bedrock para que Amazon Bedrock pueda descifrar su clave. Reemplazar region y account-id con la región y el identificador de cuenta a los que pertenece la clave. Reemplazar key-id con el ID de tu AWS KMS clave.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "KMS:Decrypt", ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.region.amazonaws.com" ] } } }] }
Permisos para descifrar un AWS Secrets Manager secreto para el almacén de vectores que contiene tu base de conocimientos
Si el almacén vectorial que contiene su base de conocimientos está configurado con un AWS Secrets Manager secreto, puede cifrarlo con una AWS KMS clave personalizada siguiendo los pasos que se indican en Cifrado secreto y descifrado en. AWS Secrets Manager
Si lo hace, asocie la siguiente política a su rol de servicio de Amazon Bedrock para que pueda descifrar su clave. Reemplazar region y account-id con la región y el identificador de cuenta a los que pertenece la clave. Reemplazar key-id con el ID de tu AWS KMS clave.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }
