Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia delle risorse della knowledge base
Amazon Bedrock crittografa le risorse relative alle tue knowledge base. Per impostazione predefinita, Amazon Bedrock crittografa questi dati utilizzando una chiave AWS gestita. Facoltativamente, puoi crittografare gli artefatti dei modelli utilizzando una chiave gestita dal cliente.
La crittografia con una chiave KMS può avvenire con i seguenti processi:
-
Archiviazione di dati temporanea durante l'acquisizione delle origini dati
-
Trasmissione di informazioni al OpenSearch Servizio se consenti ad Amazon Bedrock di configurare il tuo database vettoriale
-
Interrogazione di una knowledge base
Le seguenti risorse utilizzate dalle tue knowledge base possono essere crittografate con una chiave KMS. Se le crittografi, devi aggiungere le autorizzazioni per decrittografare la chiave KMS.
-
Origini dati archiviate in un bucket Amazon S3
-
Archivi vettoriali di terze parti
Per ulteriori informazioni in merito AWS KMS keys, consulta Customer managed keys nella AWS Key Management Service Developer Guide.
Nota
Le knowledge base di Amazon Bedrock utilizzano la crittografia TLS per la comunicazione con connettori di sorgenti dati di terze parti e archivi vettoriali in cui il provider consente e supporta la crittografia TLS in transito.
Argomenti
Crittografia dell'archiviazione di dati transitoria durante l'importazione dei dati
Quando configuri un processo di importazione dei dati per la tua knowledge base, puoi crittografare il processo con una chiave KMS personalizzata.
Per consentire la creazione di una AWS KMS chiave per l'archiviazione temporanea dei dati durante il processo di acquisizione della fonte di dati, allega la seguente policy al tuo ruolo di servizio Amazon Bedrock. Sostituisciregion, e con i account-id valori appropriatikey-id.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }
Crittografia delle informazioni trasmesse ad Amazon OpenSearch Service
Se decidi di consentire ad Amazon Bedrock di creare un archivio vettoriale in Amazon OpenSearch Service per la tua knowledge base, Amazon Bedrock può passare una chiave KMS da te scelta ad Amazon OpenSearch Service per la crittografia. Per ulteriori informazioni sulla crittografia in Amazon OpenSearch Service, consulta Encryption in Amazon OpenSearch Service.
Crittografia del recupero della knowledge base
Puoi crittografare le sessioni in cui si generano risposte interrogando una knowledge base con una chiave KMS. A tale scopo, includi l'ARN di una chiave KMS nel kmsKeyArn campo quando effettui una richiesta. RetrieveAndGenerate Allega la seguente policy, sostituendola values in modo appropriato per consentire ad Amazon Bedrock di crittografare il contesto della sessione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:region:account-id:key/key-id} ] }
Autorizzazioni per decrittografare la AWS KMS chiave per le fonti di dati in Amazon S3
Le origini dati per la knowledge base devono essere archiviate nel bucket Amazon S3. Per crittografare questi documenti a riposo, puoi utilizzare l'opzione di crittografia lato server SSE-S3 di Amazon S3. Con questa opzione, gli oggetti vengono crittografati con chiavi di servizio gestite dal servizio Amazon S3.
Per ulteriori informazioni, consulta Protezione dei dati mediante la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3) nella Guida per l'utente di Amazon Simple Storage Service.
Se hai crittografato le tue fonti di dati in Amazon S3 con una AWS KMS chiave personalizzata, allega la seguente policy al tuo ruolo di servizio Amazon Bedrock per consentire ad Amazon Bedrock di decrittografare la tua chiave. Sostituisci region e account-id con la regione e l'ID dell'account a cui appartiene la chiave. Sostituiscilo key-id con l'ID della tua AWS KMS chiave.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "KMS:Decrypt", ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.region.amazonaws.com" ] } } }] }
Autorizzazioni per decrittografare un AWS Secrets Manager segreto per l'archivio vettoriale contenente la tua knowledge base
In questo caso, allega la seguente policy al ruolo di servizio Amazon Bedrock affinché possa decrittare la chiave. Sostituisci region e account-id con la regione e l'ID dell'account a cui appartiene la chiave. Sostituiscilo key-id con l'ID della tua AWS KMS chiave.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }
