

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Bedrock の Security Hub CSPM コントロール
<a name="bedrock-controls"></a>

これらのAWS Security Hub CSPMコントロールは、Amazon Bedrock サービスとリソースを評価します。コントロールは一部の で使用できない場合がありますAWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Bedrock.1] Amazon Bedrock データソースはカスタマーマネージドAWS KMSキーで暗号化する必要があります
<a name="bedrock-1"></a>

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::Bedrock::DataSource`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/bedrock-data-source-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/bedrock-data-source-encryption-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon Bedrock データソースが保管時にカスタマーマネージドAWS KMSキーで暗号化されているかどうかをチェックします。データソースがカスタマーマネージド KMS キーで暗号化されていない場合、コントロールは失敗します。

デフォルトでは、Amazon Bedrock はAWSマネージドキーを使用してデータソースコンテンツを暗号化します。カスタマーマネージド KMS キーを使用すると、ローテーション、アクセスポリシー、監査など、暗号化キーのライフサイクルを完全に制御できますAWS CloudTrail。これにより、ナレッジベースに取り込まれる機密データに対してお客様が制御する暗号化を義務付けるコンプライアンス要件を満たすことができます。

### 修正
<a name="bedrock-1-remediation"></a>

カスタマーマネージド KMS キーを使用して Amazon Bedrock データソースを暗号化するには、[「Amazon Bedrock ユーザーガイド」の「Amazon Bedrock ナレッジベースのデータソースを変更する](https://docs.aws.amazon.com/bedrock/latest/userguide/kb-ds-update.html)」を参照してください。 **