ナレッジベースリソースの暗号化

フォーカスモード

ナレッジベースリソースの暗号化 - Amazon Bedrock

データインジェスト時の一時データストレージの暗号化 Amazon OpenSearch Service に渡される情報の暗号化ナレッジベース取得の暗号化 Amazon S3 のデータソースの AWS KMS キーを復号するアクセス許可ナレッジベースを含むベクトルストアの AWS Secrets Manager シークレットを復号するアクセス許可

Amazon Bedrock はナレッジベースに関連するリソースを暗号化します。デフォルトでは、Amazon Bedrock は AWS マネージドキーを使用してこのデータを暗号化します。オプションで、カスタマーマネージドキーを使用して、モデルアーティファクトを暗号化することもできます。

KMS キーによる暗号化は、以下のプロセスで行うことができます。

データソースの取り込み中の一時的なデータストレージ
Amazon Bedrock にベクトルデータベースをセットアップさせた場合の情報の OpenSearch サービスへの提供
ナレッジベースへのクエリの実行

ナレッジベースが使用する以下のリソースは KMS キーで暗号化できます。暗号化する場合は、KMS キーを復号するためのアクセス許可を追加する必要があります。

Amazon S3 バケットに保存されているデータソース
サードパーティーのベクトルストア

詳細については AWS KMS keys、「 AWS Key Management Service デベロッパーガイド」の「カスタマーマネージドキー」を参照してください。

注記

Amazon Bedrock ナレッジベースは、プロバイダーが転送中の TLS 暗号化を許可およびサポートするサードパーティーのデータソースコネクタおよびベクトルストアとの通信に TLS 暗号化を使用します。

トピック

データインジェスト時の一時データストレージの暗号化
Amazon OpenSearch Service に渡される情報の暗号化
ナレッジベース取得の暗号化
Amazon S3 のデータソースの AWS KMS キーを復号するアクセス許可
ナレッジベースを含むベクトルストアの AWS Secrets Manager シークレットを復号するアクセス許可

データインジェスト時の一時データストレージの暗号化

ナレッジベースのデータインジェストジョブを設定すると、カスタム KMS キーでジョブを暗号化できます。

データソースの取り込みプロセスで一時データストレージの AWS KMS キーを作成できるようにするには、Amazon Bedrock サービスロールに次のポリシーをアタッチします。region、account-id、key-id を適切な値に置き換えます。


{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
              "kms:GenerateDataKey",
              "kms:Decrypt"
          ],
          "Resource": [
              "arn:aws:kms:region:account-id:key/key-id"
          ]
        }
    ]
}

Amazon OpenSearch Service に渡される情報の暗号化

Amazon Bedrock にナレッジベース用のベクトルストアを Amazon OpenSearch Service 内に作成させることを選択した場合、Amazon Bedrock はユーザーが選択した KMS キーを Amazon OpenSearch Service に渡して暗号化することができます。Amazon OpenSearch Service での暗号化の詳細については、「Amazon OpenSearch Service での暗号化」を参照してください。

ナレッジベース取得の暗号化

ナレッジベースに KMS キーでクエリを実行することにより、レスポンスを生成するセッションを暗号化することができます。そのためには、RetrieveAndGenerate リクエストを行うときに KMS キーの ARN を kmsKeyArn フィールドに入力します。Amazon Bedrock がセッションコンテキストを暗号化できるように、次のポリシーをアタッチし、[値] を適切に置き換えます。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey", 
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id
        }
    ]
}

Amazon S3 のデータソースの AWS KMS キーを復号するアクセス許可

ナレッジベースのデータソースを Amazon S3 バケットに保存します。これらのドキュメントを保存中に暗号化するには、Amazon S3 SSE-S3 サーバーサイド暗号化オプションを使用できます。このオプションでは、オブジェクトは Amazon S3 サービスによって管理されるサービスキーで暗号化されます。

詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3)」を参照してください。

Amazon S3 のデータソースをカスタムキーで暗号化した場合は、Amazon Bedrock サービスロールに次のポリシーをアタッチして、Amazon Bedrock がキーを復号できるようにします。 AWS KMS region と account-id を、キーが属するリージョンとアカウント ID に置き換えます。key-id を AWS KMS キーの ID に置き換えます。


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "KMS:Decrypt",
        ],
        "Resource": [
            "arn:aws:kms:region:account-id:key/key-id"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": [
                    "s3.region.amazonaws.com"
               ]
           }
        }
    }]
}

ナレッジベースを含むベクトルストアの AWS Secrets Manager シークレットを復号するアクセス許可

ナレッジベースを含むベクトルストアに AWS Secrets Manager シークレットが設定されている場合は、「シークレットの暗号化と復号」の手順に従って、カスタム AWS KMS キーでシークレットを暗号化できます。 AWS Secrets Manager

そうする場合、Amazon Bedrock サービスロールに次のポリシーをアタッチして、サービスロールがキーを復号化できるようにします。region と account-id を、キーが属するリージョンとアカウント ID に置き換えます。key-id を AWS KMS キーの ID に置き換えます。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/key-id"
            ]
        }
    ]
}