데이터 모으기 중 임시 데이터 스토리지의 암호화 Amazon OpenSearch 서비스에 전달되는 정보의 암호화 지식 기반 검색 암호화 Amazon S3의 데이터 소스에 대한 AWS KMS 키를 복호화할 수 있는 권한 지식 베이스가 들어 있는 벡터 스토어의 AWS Secrets Manager 비밀을 해독할 수 있는 권한

지식 기반 리소스 암호화

Amazon Bedrock은 지식 기반과 관련된 리소스를 암호화합니다. 기본적으로 Amazon Bedrock은 관리 키를 사용하여 이 데이터를 암호화합니다. AWS 선택 사항으로, 고객 관리형 키를 사용하여 모델 아티팩트를 암호화할 수 있습니다.

KMS키를 사용한 암호화는 다음 프로세스에서 발생할 수 있습니다.

데이터 소스를 수집하는 동안의 임시 데이터 스토리지
Amazon Bedrock에서 벡터 데이터베이스를 설정하도록 허용한 경우 OpenSearch 서비스에 정보 전달
지식 기반 쿼리

지식 베이스에서 사용하는 다음 리소스를 키로 암호화할 수 있습니다. KMS 암호화하는 경우 키를 해독할 권한을 추가해야 합니다. KMS

Amazon S3 버킷에 저장된 데이터 소스
타사 벡터 저장소

에 대한 자세한 내용은 AWS KMS keys개발자 안내서의 고객 관리 키를 참조하십시오.AWS Key Management Service

참고

Amazon Bedrock 지식 베이스는 공급자가 전송 중 TLS 암호화를 허용하고 지원하는 타사 벡터 저장소와의 통신에 TLS 암호화를 사용합니다.

주제

데이터 모으기 중 임시 데이터 스토리지의 암호화
Amazon OpenSearch 서비스에 전달되는 정보의 암호화
지식 기반 검색 암호화
Amazon S3의 데이터 소스에 대한 AWS KMS 키를 복호화할 수 있는 권한
지식 베이스가 들어 있는 벡터 스토어의 AWS Secrets Manager 비밀을 해독할 수 있는 권한

데이터 모으기 중 임시 데이터 스토리지의 암호화

지식창고에 대한 데이터 수집 작업을 설정할 때 사용자 지정 키로 작업을 암호화할 수 있습니다. KMS

데이터 소스를 수집하는 과정에서 임시 데이터 스토리지용 AWS KMS 키를 생성할 수 있도록 하려면 Amazon Bedrock 서비스 역할에 다음 정책을 연결하십시오. 교체하십시오.region, account-id, 및 key-id 적절한 값으로 입력하세요.


{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
              "kms:GenerateDataKey",
              "kms:Decrypt"
          ],
          "Resource": [
              "arn:aws:kms:region:account-id:key/key-id"
          ]
        }
    ]
}

Amazon OpenSearch 서비스에 전달되는 정보의 암호화

Amazon Bedrock이 아마존 OpenSearch 서비스에 지식창고용 벡터 스토어를 생성하도록 선택한 경우, Amazon Bedrock은 암호화를 위해 사용자가 선택한 KMS 키를 Amazon OpenSearch 서비스에 전달할 수 있습니다. Amazon OpenSearch Service의 암호화에 대해 자세히 알아보려면 Amazon OpenSearch 서비스의 암호화를 참조하십시오.

지식 기반 검색 암호화

키로 지식 베이스를 쿼리하여 응답을 생성하는 세션을 암호화할 수 있습니다. KMS 이렇게 하려면 요청 시 kmsKeyArn 필드에 KMS 키를 포함시키십시오. ARN RetrieveAndGenerate 다음 정책을 첨부하여 다음 정책을 대체하십시오.values Amazon Bedrock이 세션 컨텍스트를 암호화할 수 있도록 적절하게 허용해야 합니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey", 
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id
        }
    ]
}

Amazon S3의 데이터 소스에 대한 AWS KMS 키를 복호화할 수 있는 권한

Amazon S3 버킷에 지식 기반용 데이터 소스를 저장합니다. 이러한 문서를 유휴 상태로 암호화하려면 Amazon S3 SSE -S3 서버 측 암호화 옵션을 사용할 수 있습니다. 이 옵션을 사용하면 Amazon S3 서비스에서 관리하는 서비스 키로 객체가 암호화됩니다.

자세한 내용은 Amazon 심플 스토리지 서비스 사용 설명서의 Amazon S3 관리형 암호화 키 (SSE-S3) 를 사용한 서버 측 암호화를 사용한 데이터 보호를 참조하십시오.

Amazon S3의 데이터 소스를 사용자 지정 AWS KMS 키로 암호화한 경우 Amazon Bedrock 서비스 역할에 다음 정책을 추가하여 Amazon Bedrock이 키를 복호화할 수 있도록 하십시오. Replace region 그리고 account-id 키가 속한 지역 및 계정 ID를 포함합니다. Replace key-id AWS KMS 키 ID와 함께.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "KMS:Decrypt",
        ],
        "Resource": [
            "arn:aws:kms:region:account-id:key/key-id"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": [
                    "s3.region.amazonaws.com"
               ]
           }
        }
    }]
}

지식 베이스가 들어 있는 벡터 스토어의 AWS Secrets Manager 비밀을 해독할 수 있는 권한

지식창고가 들어 있는 벡터 저장소가 시크릿으로 구성된 경우, AWS Secrets Manager 시크릿 암호화 및 복호화의 단계에 따라 커스텀 AWS KMS 키로 시크릿을 암호화할 수 있습니다. AWS Secrets Manager

이렇게 하려면 Amazon Bedrock 서비스 역할에 다음 정책을 연결하여 키를 복호화할 수 있도록 허용합니다. Replace region 그리고 account-id 키가 속한 지역 및 계정 ID를 포함합니다. Replace key-id AWS KMS 키 ID와 함께.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/key-id"
            ]
        }
    ]
}

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

상담원 메모리 권한

Amazon 베드락 스튜디오의 암호화