ナレッジベースリソースの暗号化 - Amazon Bedrock
データインジェスト時の一時データストレージの暗号化Amazon OpenSearch Service に渡される情報の暗号化ナレッジベース取得の暗号化Amazon S3 のデータソースの AWS KMS キーを復号化するアクセス許可ナレッジベースを含むベクトルストアの AWS Secrets Manager シークレットを復号化するアクセス許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ナレッジベースリソースの暗号化

Amazon Bedrock はナレッジベースに関連するリソースを暗号化します。デフォルトでは、Amazon Bedrock は AWS マネージドキーを使用してこのデータを暗号化します。オプションで、カスタマーマネージドキーを使用して、モデルアーティファクトを暗号化することもできます。

KMS キーによる暗号化は、次のプロセスで発生する可能性があります。

  • データソースの取り込み中の一時的なデータストレージ

  • Amazon Bedrock にベクトルデータベースを設定させる場合の OpenSearch Service への情報の受け渡し

  • ナレッジベースへのクエリの実行

ナレッジベースで使用される以下のリソースは、 KMS キーで暗号化できます。暗号化する場合は、KMSキーを復号するためのアクセス許可を追加する必要があります。

  • Amazon S3 バケットに保存されているデータソース

  • サードパーティーのベクトルストア

の詳細については AWS KMS keys、「 AWS Key Management Service デベロッパーガイド」の「カスタマーマネージドキー」を参照してください。

注記

Amazon Bedrock ナレッジベースは、プロバイダーが転送中のTLS暗号化を許可およびサポートするサードパーティーのベクトルストアとの通信にTLS暗号化を使用します。

データインジェスト時の一時データストレージの暗号化

ナレッジベースのデータインジェストジョブを設定すると、カスタムKMSキーを使用してジョブを暗号化できます。

データソースを取り込むプロセスで一時的なデータストレージの AWS KMS キーを作成できるようにするには、Amazon Bedrock サービスロールに次のポリシーをアタッチします。を置き換える region, account-id および key-id 適切な値を指定します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
              "kms:GenerateDataKey",
              "kms:Decrypt"
          ],
          "Resource": [
              "arn:aws:kms:region:account-id:key/key-id"
          ]
        }
    ]
}

Amazon OpenSearch Service に渡される情報の暗号化

Amazon Bedrock にナレッジベース用のベクトルストアを Amazon OpenSearch Service に作成させることを選択した場合、Amazon Bedrock は選択したKMSキーを暗号化のために Amazon OpenSearch Service に渡すことができます。Amazon OpenSearch Service での暗号化の詳細については、「Amazon Service での暗号化 OpenSearch 」を参照してください。

ナレッジベース取得の暗号化

KMS キーを使用してナレッジベースをクエリすることでレスポンスを生成するセッションを暗号化できます。そのためには、RetrieveAndGenerateリクエストを行うときに kmsKeyArnフィールドにKMSキーARNの を含めます。次のポリシーをアタッチし、values Amazon Bedrock がセッションコンテキストを暗号化できるようにするには、 を適切に実行します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey", 
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id
        }
    ]
}

Amazon S3 のデータソースの AWS KMS キーを復号化するアクセス許可

ナレッジベースのデータソースを Amazon S3 バケットに保存します。これらのドキュメントを保管中に暗号化するには、Amazon S3 SSE-S3 サーバー側の暗号化オプションを使用できます。このオプションでは、オブジェクトは Amazon S3 サービスによって管理されるサービスキーで暗号化されます。

詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3-managed暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護」を参照してください。

Amazon S3 のデータソースをカスタムキーで暗号化した場合は、Amazon Bedrock サービスロールに次のポリシーをアタッチして、Amazon Bedrock がキーを復号できるようにします。 AWS KMS 置換 region また、account-id キーが属するリージョンとアカウント ID を持つ 。置換 key-id AWS KMS キーの ID を入力します。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "KMS:Decrypt",
        ],
        "Resource": [
            "arn:aws:kms:region:account-id:key/key-id"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": [
                    "s3.region.amazonaws.com"
               ]
           }
        }
    }]
}

ナレッジベースを含むベクトルストアの AWS Secrets Manager シークレットを復号化するアクセス許可

ナレッジベースを含むベクトルストアに AWS Secrets Manager シークレットが設定されている場合は、「 のシークレットの暗号化と復号」の手順に従って、カスタム AWS KMS キーでシークレットを暗号化できます。 AWS Secrets Manager

そうする場合、Amazon Bedrock サービスロールに次のポリシーをアタッチして、サービスロールがキーを復号化できるようにします。置換 region また、account-id キーが属するリージョンとアカウント ID を持つ 。置換 key-id AWS KMS キーの ID を入力します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/key-id"
            ]
        }
    ]
}