지식 기반 리소스 암호화 - Amazon Bedrock
데이터 모으기 중 임시 데이터 스토리지의 암호화Amazon OpenSearch Service로 전달된 정보 암호화지식 기반 검색 암호화Amazon S3의 데이터 소스에 대한 AWS KMS 키를 복호화할 수 있는 권한지식 기반이 포함된 벡터 스토어의 AWS Secrets Manager 보안 암호를 해독할 수 있는 권한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

지식 기반 리소스 암호화

Amazon Bedrock은 지식 기반과 관련된 리소스를 암호화합니다. 기본적으로 Amazon Bedrock은 AWS 관리형 키를 사용하여이 데이터를 암호화합니다. 선택 사항으로, 고객 관리형 키를 사용하여 모델 아티팩트를 암호화할 수 있습니다.

KMS 키를 사용한 암호화는 다음 프로세스에서 발생할 수 있습니다.

  • 데이터 소스를 수집하는 동안의 임시 데이터 스토리지

  • Amazon Bedrock에서 벡터 데이터베이스를 설정하도록 허용한 경우 OpenSearch Service에 정보 전달

  • 지식 기반 쿼리

지식 기반에서 사용하는 다음 리소스를 KMS 키로 암호화할 수 있습니다. 암호화할 경우 KMS 키를 복호화할 수 있는 권한을 추가해야 합니다.

  • Amazon S3 버킷에 저장된 데이터 소스

  • 타사 벡터 저장소

에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서고객 관리형 키를 AWS KMS keys참조하세요.

참고

Amazon Bedrock 지식 기반은 공급자가 전송 중 TLS 암호화를 허용하고 지원하는 타사 데이터 소스 커넥터 및 벡터 스토어와의 통신을 위해 TLS 암호화를 사용합니다.

데이터 모으기 중 임시 데이터 스토리지의 암호화

지식 기반에 대한 데이터 모으기 작업을 설정할 때 사용자 지정 KMS 키를 사용하여 작업을 암호화할 수 있습니다.

데이터 소스를 수집하는 과정에서 임시 데이터 스토리지용 AWS KMS 키를 생성할 수 있도록 하려면 Amazon Bedrock 서비스 역할에 다음 정책을 연결합니다. region, account-id, key-id를 적절한 값으로 바꿉니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
              "kms:GenerateDataKey",
              "kms:Decrypt"
          ],
          "Resource": [
              "arn:aws:kms:region:account-id:key/key-id"
          ]
        }
    ]
}

Amazon OpenSearch Service로 전달된 정보 암호화

Amazon Bedrock이 지식 기반용 Amazon OpenSearch Service에 벡터 저장소를 생성하도록 선택한 경우 Amazon Bedrock은 사용자가 선택한 KMS 키를 Amazon OpenSearch Service에 전달하여 암호화할 수 있습니다. Amazon OpenSearch Service의 암호화에 대해 자세히 알아보려면 Amazon OpenSearch Service 암호화를 참조하세요.

지식 기반 검색 암호화

KMS 키로 지식 기반을 쿼리하여 응답을 생성하는 세션을 암호화할 수 있습니다. 이렇게 하려면 RetrieveAndGenerate 요청을 생성할 때 KMS 키의 ARN을 kmsKeyArn 필드에 포함시킵니다. Amazon Bedrock이 세션 컨텍스트를 암호화할 수 있도록 을 적절하게 대체하여 다음 정책을 연결시킵니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey", 
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id
        }
    ]
}

Amazon S3의 데이터 소스에 대한 AWS KMS 키를 복호화할 수 있는 권한

Amazon S3 버킷에 지식 기반용 데이터 소스를 저장합니다. 이러한 저장된 문서를 암호화하려면 Amazon S3의 SSE-S3 서버 측 암호화 옵션을 사용하면 됩니다. 이 옵션을 사용하면 Amazon S3 서비스에서 관리하는 서비스 키로 객체가 암호화됩니다.

자세한 내용은 Amazon Simple Storage Service 사용 설명서의 Amazon S3 관리형 암호화 키(SSE-S3)로 서버 측 암호화를 사용하여 데이터 보호 섹션을 참조하세요.

사용자 지정 AWS KMS 키로 Amazon S3의 데이터 소스를 암호화한 경우 Amazon Bedrock 서비스 역할에 다음 정책을 연결하여 Amazon Bedrock이 키를 복호화할 수 있도록 합니다. regionaccount-id를 키가 속한 리전 및 계정 ID로 바꿉니다. key-id를 AWS KMS 키 ID로 바꿉니다.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "KMS:Decrypt",
        ],
        "Resource": [
            "arn:aws:kms:region:account-id:key/key-id"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": [
                    "s3.region.amazonaws.com"
               ]
           }
        }
    }]
}

지식 기반이 포함된 벡터 스토어의 AWS Secrets Manager 보안 암호를 해독할 수 있는 권한

지식 기반이 포함된 벡터 스토어가 AWS Secrets Manager 보안 암호로 구성된 경우 보안 암호 암호화 및 복호화의 단계에 따라 사용자 지정 AWS KMS 키로 보안 암호를 암호화할 수 있습니다. AWS Secrets Manager

이렇게 하려면 Amazon Bedrock 서비스 역할에 다음 정책을 연결하여 키를 복호화할 수 있도록 허용합니다. regionaccount-id를 키가 속한 리전 및 계정 ID로 바꿉니다. key-id를 AWS KMS 키 ID로 바꿉니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/key-id"
            ]
        }
    ]
}