Enkripsi sumber daya basis pengetahuan - Amazon Bedrock
Enkripsi penyimpanan data sementara selama konsumsi dataEnkripsi informasi diteruskan ke OpenSearch Layanan AmazonEnkripsi pengambilan basis pengetahuanIzin untuk mendekripsi AWS KMS kunci Anda untuk sumber data Anda di Amazon S3Izin untuk mendekripsi AWS Secrets Manager rahasia untuk penyimpanan vektor yang berisi basis pengetahuan Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi sumber daya basis pengetahuan

Amazon Bedrock mengenkripsi sumber daya yang terkait dengan basis pengetahuan Anda. Secara default, Amazon Bedrock mengenkripsi data ini menggunakan kunci terkelola AWS . Secara opsional, Anda dapat mengenkripsi artefak model menggunakan kunci yang dikelola pelanggan.

Enkripsi dengan KMS kunci dapat terjadi dengan proses berikut:

  • Penyimpanan data sementara saat menelan sumber data Anda

  • Meneruskan informasi ke OpenSearch Layanan jika Anda mengizinkan Amazon Bedrock mengatur basis data vektor Anda

  • Meminta basis pengetahuan

Sumber daya berikut yang digunakan oleh basis pengetahuan Anda dapat dienkripsi dengan KMS kunci. Jika Anda mengenkripsi mereka, Anda perlu menambahkan izin untuk mendekripsi kunci. KMS

  • Sumber data disimpan dalam bucket Amazon S3

  • Toko vektor pihak ketiga

Untuk informasi selengkapnya AWS KMS keys, lihat Kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.

catatan

Basis pengetahuan Amazon Bedrock menggunakan TLS enkripsi untuk komunikasi dengan toko vektor pihak ketiga di mana penyedia mengizinkan dan mendukung TLS enkripsi dalam perjalanan.

Enkripsi penyimpanan data sementara selama konsumsi data

Saat menyiapkan pekerjaan penyerapan data untuk basis pengetahuan Anda, Anda dapat mengenkripsi pekerjaan dengan kunci khusus. KMS

Untuk mengizinkan pembuatan AWS KMS kunci penyimpanan data sementara dalam proses pengambilan sumber data Anda, lampirkan kebijakan berikut ke peran layanan Amazon Bedrock Anda. Ganti region, account-id, dan key-id dengan nilai-nilai yang sesuai.

{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
              "kms:GenerateDataKey",
              "kms:Decrypt"
          ],
          "Resource": [
              "arn:aws:kms:region:account-id:key/key-id"
          ]
        }
    ]
}

Enkripsi informasi diteruskan ke OpenSearch Layanan Amazon

Jika Anda memilih untuk mengizinkan Amazon Bedrock membuat penyimpanan vektor di OpenSearch Layanan Amazon untuk basis pengetahuan Anda, Amazon Bedrock dapat meneruskan KMS kunci yang Anda pilih ke OpenSearch Layanan Amazon untuk enkripsi. Untuk mempelajari lebih lanjut tentang enkripsi di OpenSearch Layanan Amazon, lihat Enkripsi di OpenSearch Layanan Amazon.

Enkripsi pengambilan basis pengetahuan

Anda dapat mengenkripsi sesi di mana Anda menghasilkan respons dari kueri basis pengetahuan dengan KMS kunci. Untuk melakukannya, sertakan KMS kunci di kmsKeyArn bidang saat membuat RetrieveAndGeneratepermintaan. ARN Lampirkan kebijakan berikut, ganti values tepat untuk memungkinkan Amazon Bedrock mengenkripsi konteks sesi.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey", 
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id
        }
    ]
}

Izin untuk mendekripsi AWS KMS kunci Anda untuk sumber data Anda di Amazon S3

Anda menyimpan sumber data untuk basis pengetahuan Anda di bucket Amazon S3 Anda. Untuk mengenkripsi dokumen-dokumen ini saat istirahat, Anda dapat menggunakan opsi enkripsi sisi server Amazon SSE S3 -S3. Dengan opsi ini, objek dienkripsi dengan kunci layanan yang dikelola oleh layanan Amazon S3.

Untuk informasi selengkapnya, lihat Melindungi data menggunakan enkripsi sisi server dengan kunci enkripsi terkelola Amazon S3 (SSE-S3) di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Jika Anda mengenkripsi sumber data di Amazon S3 dengan kunci AWS KMS khusus, lampirkan kebijakan berikut ke peran layanan Amazon Bedrock Anda untuk mengizinkan Amazon Bedrock mendekripsi kunci Anda. Ganti region and account-id dengan wilayah dan ID akun tempat kunci tersebut berada. Ganti key-id dengan ID AWS KMS kunci Anda.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "KMS:Decrypt",
        ],
        "Resource": [
            "arn:aws:kms:region:account-id:key/key-id"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": [
                    "s3.region.amazonaws.com"
               ]
           }
        }
    }]
}

Izin untuk mendekripsi AWS Secrets Manager rahasia untuk penyimpanan vektor yang berisi basis pengetahuan Anda

Jika penyimpanan vektor yang berisi basis pengetahuan Anda dikonfigurasi dengan AWS Secrets Manager rahasia, Anda dapat mengenkripsi rahasia dengan AWS KMS kunci khusus dengan mengikuti langkah-langkah di enkripsi Rahasia dan dekripsi di. AWS Secrets Manager

Jika Anda melakukannya, Anda melampirkan kebijakan berikut ke peran layanan Amazon Bedrock Anda untuk memungkinkannya mendekripsi kunci Anda. Ganti region and account-id dengan wilayah dan ID akun tempat kunci tersebut berada. Ganti key-id dengan ID AWS KMS kunci Anda.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/key-id"
            ]
        }
    ]
}