翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ナレッジベースリソースの暗号化
Amazon Bedrock はナレッジベースに関連するリソースを暗号化します。デフォルトでは、Amazon Bedrock は AWS所有のキーを使用してこのデータを暗号化します。オプションで、カスタマーマネージドキーを使用して、モデルアーティファクトを暗号化することもできます。
KMS キーによる暗号化は、以下のプロセスで行うことができます。
+ データソースの取り込み中の一時的なデータストレージ
+ Amazon Bedrock にベクトルデータベースをセットアップさせた場合の情報の OpenSearch サービスへの提供
+ ナレッジベースへのクエリの実行
ナレッジベースが使用する以下のリソースは KMS キーで暗号化できます。暗号化する場合は、KMS キーを復号するためのアクセス許可を追加する必要があります。
+ Amazon S3 バケットに保存されているデータソース
+ サードパーティーのベクトルストア
詳細については AWS KMS keys、「 *AWS Key Management Service デベロッパーガイド*」の[「カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)」を参照してください。
**注記**
Amazon Bedrock ナレッジベースは、転送中の TLS 暗号化をプロバイダーが許可およびサポートするサードパーティーのデータソースコネクタおよびベクトルストアとの通信に TLS 暗号化を使用します。
**Topics**
+ [データインジェスト時の一時データストレージの暗号化](#encryption-kb-ingestion)
+ [Amazon OpenSearch Service に渡される情報の暗号化](#encryption-kb-oss)
+ [Amazon S3 Vectors に渡される情報の暗号化](#encryption-kb-s3-vector)
+ [ナレッジベース取得の暗号化](#encryption-kb-runtime)
+ [Amazon S3 のデータソースの AWS KMS キーを復号するアクセス許可](#encryption-kb-ds)
+ [ナレッジベースを含むベクトルストアのシー AWS Secrets Manager クレットを復号するアクセス許可](#encryption-kb-3p)
+ [AWS KMS 暗号化を使用した Bedrock Data Automation (BDA) のアクセス許可](#encryption-kb-bda)
## データインジェスト時の一時データストレージの暗号化
ナレッジベースのデータインジェストジョブを設定すると、カスタム KMS キーでジョブを暗号化できます。
データソースの取り込みプロセスで一時データストレージの AWS KMS キーを作成できるようにするには、Amazon Bedrock サービスロールに次のポリシーをアタッチします。サンプル値を独自の AWS リージョン、アカウント ID、および AWS KMS キー ID に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
## Amazon OpenSearch Service に渡される情報の暗号化
Amazon Bedrock にナレッジベース用のベクトルストアを Amazon OpenSearch Service 内に作成させることを選択した場合、Amazon Bedrock はユーザーが選択した KMS キーを Amazon OpenSearch Service に渡して暗号化することができます。Amazon OpenSearch Service での暗号化の詳細については、「[Amazon OpenSearch Service での暗号化](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html)」を参照してください。
## Amazon S3 Vectors に渡される情報の暗号化
Amazon Bedrock にナレッジベース用の S3 ベクトルバケットとベクトルストアを Amazon S3 Vectors 内に作成させることを選択した場合、Amazon Bedrock はユーザーが選択した KMS キーを Amazon S3 Vectors に渡して暗号化することができます。Amazon S3 Vectors での暗号化の詳細については、「[Amazon S3 Vectors による暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-vectors-bucket-encryption.html)」を参照してください。
## ナレッジベース取得の暗号化
ナレッジベースに KMS キーでクエリを実行することにより、レスポンスを生成するセッションを暗号化することができます。そのためには、[RetrieveAndGenerate](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) リクエストを行うときに KMS キーの ARN を `kmsKeyArn` フィールドに入力します。次のポリシーをアタッチし、サンプル値を独自の AWS リージョン、アカウント ID、 AWS KMS キー ID に置き換えて、Amazon Bedrock がセッションコンテキストを暗号化できるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
## Amazon S3 のデータソースの AWS KMS キーを復号するアクセス許可
ナレッジベースのデータソースを Amazon S3 バケットに保存します。これらのドキュメントを保存中に暗号化するには、Amazon S3 SSE-S3 サーバーサイド暗号化オプションを使用できます。このオプションでは、オブジェクトは Amazon S3 サービスによって管理されるサービスキーで暗号化されます。
詳細については、**「Amazon Simple Storage Service ユーザーガイド」の「[Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)」を参照してください。
Amazon S3 のデータソースをカスタム AWS KMS キーで暗号化した場合は、Amazon Bedrock サービスロールに次のポリシーをアタッチして、Amazon Bedrock がキーを復号できるようにします。サンプル値を独自の AWS リージョン、アカウント ID、および AWS KMS キー ID に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"KMS:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
## ナレッジベースを含むベクトルストアのシー AWS Secrets Manager クレットを復号するアクセス許可
ナレッジベースを含むベクトルストアが AWS Secrets Manager シークレットで設定されている場合は、「シークレットの暗号化と復号」の手順に従って、カスタム AWS KMS キーでシークレットを暗号化できます。 [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)
そうする場合、Amazon Bedrock サービスロールに次のポリシーをアタッチして、サービスロールがキーを復号化できるようにします。サンプル値を独自の AWS リージョン、アカウント ID、および AWS KMS キー ID に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key-id"
]
}
]
}
```
------
## AWS KMS 暗号化を使用した Bedrock Data Automation (BDA) のアクセス許可
BDA を使用してカスタマーマネージド AWS KMS キーでマルチモーダルコンテンツを処理する場合、標準のアクセス許可を超えて追加の AWS KMS アクセス許可が必要です。
Amazon Bedrock サービスロールに次のポリシーをアタッチして、暗号化されたマルチメディアファイルを BDA が操作できるようにします。サンプル値を独自の AWS リージョン、アカウント ID、および AWS KMS キー ID に置き換えます。
```
{
"Sid": "KmsPermissionStatementForBDA",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "account-id",
"kms:ViaService": "bedrock.region.amazonaws.com"
}
}
}
```
BDA 固有のアクセス許可には、暗号化されたオーディオ、ビデオ、イメージファイルを BDA が処理するために必要な `kms:DescribeKey`アクションと `kms:CreateGrant`アクションが含まれます。