기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
지식 기반 리소스 암호화
Amazon Bedrock은 지식 기반과 관련된 리소스를 암호화합니다. 기본적으로 Amazon Bedrock은 관리 키를 사용하여 이 데이터를 암호화합니다. AWS 선택 사항으로, 고객 관리형 키를 사용하여 모델 아티팩트를 암호화할 수 있습니다.
KMS키를 사용한 암호화는 다음 프로세스에서 발생할 수 있습니다.
-
데이터 소스를 수집하는 동안의 임시 데이터 스토리지
-
Amazon Bedrock에서 벡터 데이터베이스를 설정하도록 허용한 경우 OpenSearch 서비스에 정보 전달
-
지식 기반 쿼리
지식 베이스에서 사용하는 다음 리소스를 키로 암호화할 수 있습니다. KMS 암호화하는 경우 키를 해독할 권한을 추가해야 합니다. KMS
-
Amazon S3 버킷에 저장된 데이터 소스
-
타사 벡터 저장소
에 대한 자세한 내용은 AWS KMS keys개발자 안내서의 고객 관리 키를 참조하십시오.AWS Key Management Service
참고
Amazon Bedrock 지식 베이스는 공급자가 전송 중 TLS 암호화를 허용하고 지원하는 타사 벡터 저장소와의 통신에 TLS 암호화를 사용합니다.
주제
데이터 모으기 중 임시 데이터 스토리지의 암호화
지식창고에 대한 데이터 수집 작업을 설정할 때 사용자 지정 키로 작업을 암호화할 수 있습니다. KMS
데이터 소스를 수집하는 과정에서 임시 데이터 스토리지용 AWS KMS 키를 생성할 수 있도록 하려면 Amazon Bedrock 서비스 역할에 다음 정책을 연결하십시오. 교체하십시오.region
, account-id
, 및 key-id
적절한 값으로 입력하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
region
:account-id
:key/key-id
" ] } ] }
Amazon OpenSearch 서비스에 전달되는 정보의 암호화
Amazon Bedrock이 아마존 OpenSearch 서비스에 지식창고용 벡터 스토어를 생성하도록 선택한 경우, Amazon Bedrock은 암호화를 위해 사용자가 선택한 KMS 키를 Amazon OpenSearch 서비스에 전달할 수 있습니다. Amazon OpenSearch Service의 암호화에 대해 자세히 알아보려면 Amazon OpenSearch 서비스의 암호화를 참조하십시오.
지식 기반 검색 암호화
키로 지식 베이스를 쿼리하여 응답을 생성하는 세션을 암호화할 수 있습니다. KMS 이렇게 하려면 요청 시 kmsKeyArn
필드에 KMS 키를 포함시키십시오. ARN RetrieveAndGenerate 다음 정책을 첨부하여 다음 정책을 대체하십시오.values
Amazon Bedrock이 세션 컨텍스트를 암호화할 수 있도록 적절하게 허용해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
} ] }
Amazon S3의 데이터 소스에 대한 AWS KMS 키를 복호화할 수 있는 권한
Amazon S3 버킷에 지식 기반용 데이터 소스를 저장합니다. 이러한 문서를 유휴 상태로 암호화하려면 Amazon S3 SSE -S3 서버 측 암호화 옵션을 사용할 수 있습니다. 이 옵션을 사용하면 Amazon S3 서비스에서 관리하는 서비스 키로 객체가 암호화됩니다.
자세한 내용은 Amazon 심플 스토리지 서비스 사용 설명서의 Amazon S3 관리형 암호화 키 (SSE-S3) 를 사용한 서버 측 암호화를 사용한 데이터 보호를 참조하십시오.
Amazon S3의 데이터 소스를 사용자 지정 AWS KMS 키로 암호화한 경우 Amazon Bedrock 서비스 역할에 다음 정책을 추가하여 Amazon Bedrock이 키를 복호화할 수 있도록 하십시오. Replace region
그리고 account-id
키가 속한 지역 및 계정 ID를 포함합니다. Replace key-id
AWS KMS 키 ID와 함께.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "KMS:Decrypt", ], "Resource": [ "arn:aws:kms:
region
:account-id
:key/key-id
" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.region
.amazonaws.com" ] } } }] }
지식 베이스가 들어 있는 벡터 스토어의 AWS Secrets Manager 비밀을 해독할 수 있는 권한
지식창고가 들어 있는 벡터 저장소가 시크릿으로 구성된 경우, AWS Secrets Manager 시크릿 암호화 및 복호화의 단계에 따라 커스텀 AWS KMS 키로 시크릿을 암호화할 수 있습니다. AWS Secrets Manager
이렇게 하려면 Amazon Bedrock 서비스 역할에 다음 정책을 연결하여 키를 복호화할 수 있도록 허용합니다. Replace region
그리고 account-id
키가 속한 지역 및 계정 ID를 포함합니다. Replace key-id
AWS KMS 키 ID와 함께.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
region
:account-id
:key/key-id
" ] } ] }