Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia delle risorse della knowledge base
Amazon Bedrock crittografa le risorse relative alle tue knowledge base. Per impostazione predefinita, Amazon Bedrock crittografa questi dati utilizzando una chiave AWS gestita. Facoltativamente, puoi crittografare gli artefatti dei modelli utilizzando una chiave gestita dal cliente.
La crittografia con una KMS chiave può avvenire con i seguenti processi:
-
Archiviazione di dati temporanea durante l'acquisizione delle origini dati
-
Trasmissione di informazioni al OpenSearch Servizio se consenti ad Amazon Bedrock di configurare il tuo database vettoriale
-
Interrogazione di una knowledge base
Le seguenti risorse utilizzate dalle tue knowledge base possono essere crittografate con una KMS chiave. Se le crittografi, devi aggiungere le autorizzazioni per decrittografare la chiave. KMS
-
Origini dati archiviate in un bucket Amazon S3
-
Archivi vettoriali di terze parti
Per ulteriori informazioni in merito AWS KMS keys, consulta Customer managed keys nella Developer Guide.AWS Key Management Service
Nota
Le knowledge base di Amazon Bedrock utilizzano TLS la crittografia per la comunicazione con archivi vettoriali di terze parti in cui il provider consente e supporta la TLS crittografia in transito.
Argomenti
- Crittografia dell'archiviazione di dati transitoria durante l'importazione dei dati
- Crittografia delle informazioni trasmesse ad Amazon OpenSearch Service
- Crittografia del recupero della knowledge base
- Autorizzazioni per decrittografare la AWS KMS chiave per le fonti di dati in Amazon S3
- Autorizzazioni per decrittografare un AWS Secrets Manager segreto per l'archivio vettoriale contenente la tua knowledge base
Crittografia dell'archiviazione di dati transitoria durante l'importazione dei dati
Quando configuri un processo di inserimento dati per la tua knowledge base, puoi crittografare il processo con una chiave personalizzata. KMS
Per consentire la creazione di una AWS KMS chiave per l'archiviazione temporanea dei dati durante il processo di acquisizione della fonte di dati, allega la seguente policy al tuo ruolo di servizio Amazon Bedrock. Sostituisci il region, account-ide key-id con i valori appropriati.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }
Crittografia delle informazioni trasmesse ad Amazon OpenSearch Service
Se decidi di consentire ad Amazon Bedrock di creare un archivio vettoriale in Amazon OpenSearch Service per la tua knowledge base, Amazon Bedrock può passare una KMS chiave a tua scelta ad Amazon OpenSearch Service per la crittografia. Per ulteriori informazioni sulla crittografia in Amazon OpenSearch Service, consulta Encryption in Amazon OpenSearch Service.
Crittografia del recupero della knowledge base
Puoi crittografare le sessioni in cui generi risposte interrogando una knowledge base con una KMS chiave. A tale scopo, ARN includi una KMS chiave nel kmsKeyArn campo quando effettui una RetrieveAndGeneraterichiesta. Allega la seguente politica, sostituendo la values in modo appropriato per consentire ad Amazon Bedrock di crittografare il contesto della sessione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:region:account-id:key/key-id} ] }
Autorizzazioni per decrittografare la AWS KMS chiave per le fonti di dati in Amazon S3
Le origini dati per la knowledge base devono essere archiviate nel bucket Amazon S3. Per crittografare questi documenti inattivi, puoi utilizzare l'opzione di crittografia lato server Amazon SSE S3 -S3. Con questa opzione, gli oggetti vengono crittografati con chiavi di servizio gestite dal servizio Amazon S3.
Per ulteriori informazioni, consulta Protezione dei dati utilizzando la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3) nella Guida per l'utente di Amazon Simple Storage Service.
Se hai crittografato le tue fonti di dati in Amazon S3 con una AWS KMS chiave personalizzata, allega la seguente policy al tuo ruolo di servizio Amazon Bedrock per consentire ad Amazon Bedrock di decrittografare la tua chiave. Replace (Sostituisci) region e account-id con la regione e l'ID dell'account a cui appartiene la chiave. Replace (Sostituisci) key-id con l'ID della tua AWS KMS chiave.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "KMS:Decrypt", ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.region.amazonaws.com" ] } } }] }
Autorizzazioni per decrittografare un AWS Secrets Manager segreto per l'archivio vettoriale contenente la tua knowledge base
In questo caso, allega la seguente policy al ruolo di servizio Amazon Bedrock affinché possa decrittare la chiave. Replace (Sostituisci) region e account-id con la regione e l'ID dell'account a cui appartiene la chiave. Replace (Sostituisci) key-id con l'ID della tua AWS KMS chiave.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }
