Criptografia de recursos da base de conhecimento
O Amazon Bedrock criptografa os recursos relacionados às bases de conhecimento. Por padrão, o Amazon Bedrock criptografa esses dados usando uma chave gerenciada pela AWS. Opcionalmente, é possível criptografar os artefatos de modelo usando uma chave gerenciada pelo cliente.
A criptografia com uma chave do KMS pode ocorrer com os seguintes processos:
-
Armazenamento de dados temporário ao ingerir fontes de dados
-
Envio de informações ao OpenSearch Service se você permitir que o Amazon Bedrock configure o banco de dados de vetores
-
Consulta de uma base de conhecimento
Os recursos a seguir usados pelas bases de conhecimento podem ser criptografados com uma chave do KMS. Se você criptografá-los, precisará adicionar permissões para descriptografar a chave do KMS.
-
Fontes de dados armazenadas em um bucket do Amazon S3
-
Armazenamentos de vetores de terceiros
Para obter mais informações sobre as AWS KMS keys, consulte Customer managed keys no Guia do desenvolvedor do AWS Key Management Service.
nota
As bases de conhecimento do Amazon Bedrock usam criptografia TLS para comunicação com o armazenamento de vetores de terceiros em que o provedor permite e oferece suporte à criptografia TLS em trânsito.
Tópicos
- Criptografia de armazenamento de dados temporário durante a ingestão de dados
- Criptografia das informações enviadas ao Amazon OpenSearch Service
- Criptografia da recuperação da base de conhecimento
- Permissões para descriptografar uma chave do AWS KMS para as fontes de dados no Amazon S3
- Permissões para descriptografar um segredo do AWS Secrets Manager para o armazenamento de vetores que contém a base de conhecimento
Criptografia de armazenamento de dados temporário durante a ingestão de dados
Ao configurar um trabalho de ingestão de dados para a base de conhecimento, é possível criptografar o trabalho com uma chave personalizada do KMS.
Para permitir a criação de uma chave do AWS KMS para o armazenamento de dados temporário no processo de ingestão da fonte de dados, anexe a política a seguir ao seu perfil de serviço do Amazon Bedrock. Substitua region, account-id e key-id pelos valores adequados.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }
Criptografia das informações enviadas ao Amazon OpenSearch Service
Se você optar por permitir que o Amazon Bedrock crie um armazenamento de vetores no Amazon OpenSearch Service para a base de conhecimento, o Amazon Bedrock poderá enviar uma chave do KMS de sua escolha ao Amazon OpenSearch Service para criptografia. Para saber mais sobre a criptografia no Amazon OpenSearch Service, consulte Criptografia no Amazon OpenSearch Service.
Criptografia da recuperação da base de conhecimento
É possível criptografar sessões nas quais você gera respostas ao consultar uma base de conhecimento com uma chave do KMS. Para isso, inclua o ARN de uma chave do KMS no campo kmsKeyArn ao fazer uma solicitação RetrieveAndGenerate. Anexe a política a seguir, substituindo os valores adequadamente para permitir que o Amazon Bedrock criptografe o contexto da sessão.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:region:account-id:key/key-id} ] }
Permissões para descriptografar uma chave do AWS KMS para as fontes de dados no Amazon S3
Armazene as fontes de dados da sua base de conhecimento no bucket do Amazon S3. Para criptografar esses documentos em repouso, é possível usar a criptografia do lado do servidor do Amazon S3 SSE-S3. Com essa opção, os objetos são criptografados com chaves de serviço gerenciadas pelo serviço Amazon S3.
Para obter mais informações, consulte Proteção de dados usando criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3) no Manual do usuário do Amazon Simple Storage Service.
Se você criptografou as fontes de dados no Amazon S3 com uma chave personalizada do AWS KMS, anexe a política a seguir ao seu perfil de serviço do Amazon Bedrock para permitir que o Amazon Bedrock descriptografe a chave. Substitua region e account-id pela região e pelo ID da conta à qual a chave pertence. Substitua key-id pelo ID da chave do AWS KMS.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "KMS:Decrypt", ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.region.amazonaws.com" ] } } }] }
Permissões para descriptografar um segredo do AWS Secrets Manager para o armazenamento de vetores que contém a base de conhecimento
Se o armazenamento de vetores que contém a base de conhecimento estiver configurado com um segredo do AWS Secrets Manager, será possível criptografar o segredo com uma chave personalizada do AWS KMS seguindo as etapas em Criptografia e descriptografia de segredos no AWS Secrets Manager.
Se você fizer isso, anexe a política a seguir ao seu perfil de serviço do Amazon Bedrock para permitir que ele descriptografe a chave. Substitua region e account-id pela região e pelo ID da conta à qual a chave pertence. Substitua key-id pelo ID da chave do AWS KMS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }
