As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia de recursos da base de conhecimento
O Amazon Bedrock criptografa os recursos relacionados às bases de conhecimento. Por padrão, o Amazon Bedrock criptografa esses dados usando uma chave AWS gerenciada. Opcionalmente, você pode criptografar os artefatos do modelo usando uma chave gerenciada pelo cliente.
A criptografia com uma KMS chave pode ocorrer com os seguintes processos:
-
Armazenamento de dados temporário durante a ingestão das fontes de dados
-
Passando informações para o OpenSearch Serviço se você permitir que o Amazon Bedrock configure seu banco de dados vetoriais
-
Consulta de uma base de conhecimento
Os seguintes recursos usados por suas bases de conhecimento podem ser criptografados com uma KMS chave. Se você os criptografar, precisará adicionar permissões para descriptografar a chave. KMS
-
Fontes de dados armazenadas em um bucket do Amazon S3
-
Armazenamentos de vetores de terceiros
Para obter mais informações sobre AWS KMS keys, consulte Chaves gerenciadas pelo cliente no Guia do AWS Key Management Service desenvolvedor.
nota
As bases de conhecimento do Amazon Bedrock usam TLS criptografia para comunicação com lojas vetoriais de terceiros, onde o provedor permite e dá suporte à TLS criptografia em trânsito.
Tópicos
- Criptografia do armazenamento de dados temporário durante a ingestão de dados
- Criptografia das informações passadas para o Amazon OpenSearch Service
- Criptografia da recuperação da base de conhecimento
- Permissões para descriptografar sua AWS KMS chave para suas fontes de dados no Amazon S3
- Permissões para descriptografar um AWS Secrets Manager segredo para o armazenamento de vetores que contém sua base de conhecimento
Criptografia do armazenamento de dados temporário durante a ingestão de dados
Ao configurar um trabalho de ingestão de dados para sua base de conhecimento, você pode criptografar o trabalho com uma chave personalizadaKMS.
Para permitir a criação de uma AWS KMS chave para armazenamento transitório de dados no processo de ingestão de sua fonte de dados, anexe a seguinte política à sua função de serviço do Amazon Bedrock. Substitua o region
, account-id
e key-id
com os valores apropriados.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
region
:account-id
:key/key-id
" ] } ] }
Criptografia das informações passadas para o Amazon OpenSearch Service
Se você optar por permitir que o Amazon Bedrock crie um armazenamento vetorial no Amazon OpenSearch Service para sua base de conhecimento, o Amazon Bedrock poderá passar uma KMS chave que você escolher para o Amazon OpenSearch Service para criptografia. Para saber mais sobre criptografia no Amazon OpenSearch Service, consulte Criptografia no Amazon OpenSearch Service.
Criptografia da recuperação da base de conhecimento
Você pode criptografar sessões nas quais gera respostas consultando uma base de conhecimento com uma KMS chave. Para fazer isso, inclua a KMS chave ARN de uma no kmsKeyArn
campo ao fazer uma RetrieveAndGeneratesolicitação. Anexe a seguinte política, substituindo a values
apropriadamente para permitir que o Amazon Bedrock criptografe o contexto da sessão.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
} ] }
Permissões para descriptografar sua AWS KMS chave para suas fontes de dados no Amazon S3
Armazene as fontes de dados da sua base de conhecimento no bucket do Amazon S3. Para criptografar esses documentos em repouso, você pode usar a opção de criptografia do lado do servidor Amazon SSE S3 -S3. Com essa opção, os objetos são criptografados com chaves de serviço gerenciadas pelo serviço Amazon S3.
Para obter mais informações, consulte Proteção de dados usando criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3) no Guia do usuário do Amazon Simple Storage Service.
Se você criptografou suas fontes de dados no Amazon S3 com uma AWS KMS chave personalizada, anexe a seguinte política à sua função de serviço do Amazon Bedrock para permitir que o Amazon Bedrock decifre sua chave. Substituir region
e account-id
com a região e o ID da conta aos quais a chave pertence. Substituir key-id
com o ID da sua AWS KMS chave.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "KMS:Decrypt", ], "Resource": [ "arn:aws:kms:
region
:account-id
:key/key-id
" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.region
.amazonaws.com" ] } } }] }
Permissões para descriptografar um AWS Secrets Manager segredo para o armazenamento de vetores que contém sua base de conhecimento
Se o repositório vetorial que contém sua base de conhecimento estiver configurado com um AWS Secrets Manager segredo, você poderá criptografar o segredo com uma AWS KMS chave personalizada seguindo as etapas em Criptografia e descriptografia secretas em. AWS Secrets Manager
Se você fizer isso, anexe a política a seguir ao seu perfil de serviço do Amazon Bedrock para permitir que ele descriptografe a chave. Substituir region
e account-id
com a região e o ID da conta aos quais a chave pertence. Substituir key-id
com o ID da sua AWS KMS chave.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
region
:account-id
:key/key-id
" ] } ] }