Criptografia de recursos da base de conhecimento - Amazon Bedrock

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de recursos da base de conhecimento

O Amazon Bedrock criptografa os recursos relacionados às bases de conhecimento. Por padrão, o Amazon Bedrock criptografa esses dados usando uma chave AWS gerenciada. Opcionalmente, você pode criptografar os artefatos do modelo usando uma chave gerenciada pelo cliente.

A criptografia com uma KMS chave pode ocorrer com os seguintes processos:

  • Armazenamento de dados temporário durante a ingestão das fontes de dados

  • Passando informações para o OpenSearch Serviço se você permitir que o Amazon Bedrock configure seu banco de dados vetoriais

  • Consulta de uma base de conhecimento

Os seguintes recursos usados por suas bases de conhecimento podem ser criptografados com uma KMS chave. Se você os criptografar, precisará adicionar permissões para descriptografar a chave. KMS

  • Fontes de dados armazenadas em um bucket do Amazon S3

  • Armazenamentos de vetores de terceiros

Para obter mais informações sobre AWS KMS keys, consulte Chaves gerenciadas pelo cliente no Guia do AWS Key Management Service desenvolvedor.

nota

As bases de conhecimento do Amazon Bedrock usam TLS criptografia para comunicação com lojas vetoriais de terceiros, onde o provedor permite e dá suporte à TLS criptografia em trânsito.

Criptografia do armazenamento de dados temporário durante a ingestão de dados

Ao configurar um trabalho de ingestão de dados para sua base de conhecimento, você pode criptografar o trabalho com uma chave personalizadaKMS.

Para permitir a criação de uma AWS KMS chave para armazenamento transitório de dados no processo de ingestão de sua fonte de dados, anexe a seguinte política à sua função de serviço do Amazon Bedrock. Substitua o region, account-id e key-id com os valores apropriados.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }

Criptografia das informações passadas para o Amazon OpenSearch Service

Se você optar por permitir que o Amazon Bedrock crie um armazenamento vetorial no Amazon OpenSearch Service para sua base de conhecimento, o Amazon Bedrock poderá passar uma KMS chave que você escolher para o Amazon OpenSearch Service para criptografia. Para saber mais sobre criptografia no Amazon OpenSearch Service, consulte Criptografia no Amazon OpenSearch Service.

Criptografia da recuperação da base de conhecimento

Você pode criptografar sessões nas quais gera respostas consultando uma base de conhecimento com uma KMS chave. Para fazer isso, inclua a KMS chave ARN de uma no kmsKeyArn campo ao fazer uma RetrieveAndGeneratesolicitação. Anexe a seguinte política, substituindo a values apropriadamente para permitir que o Amazon Bedrock criptografe o contexto da sessão.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:region:account-id:key/key-id } ] }

Permissões para descriptografar sua AWS KMS chave para suas fontes de dados no Amazon S3

Armazene as fontes de dados da sua base de conhecimento no bucket do Amazon S3. Para criptografar esses documentos em repouso, você pode usar a opção de criptografia do lado do servidor Amazon SSE S3 -S3. Com essa opção, os objetos são criptografados com chaves de serviço gerenciadas pelo serviço Amazon S3.

Para obter mais informações, consulte Proteção de dados usando criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3) no Guia do usuário do Amazon Simple Storage Service.

Se você criptografou suas fontes de dados no Amazon S3 com uma AWS KMS chave personalizada, anexe a seguinte política à sua função de serviço do Amazon Bedrock para permitir que o Amazon Bedrock decifre sua chave. Substituir region e account-id com a região e o ID da conta aos quais a chave pertence. Substituir key-id com o ID da sua AWS KMS chave.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "KMS:Decrypt", ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.region.amazonaws.com" ] } } }] }

Permissões para descriptografar um AWS Secrets Manager segredo para o armazenamento de vetores que contém sua base de conhecimento

Se o repositório vetorial que contém sua base de conhecimento estiver configurado com um AWS Secrets Manager segredo, você poderá criptografar o segredo com uma AWS KMS chave personalizada seguindo as etapas em Criptografia e descriptografia secretas em. AWS Secrets Manager

Se você fizer isso, anexe a política a seguir ao seu perfil de serviço do Amazon Bedrock para permitir que ele descriptografe a chave. Substituir region e account-id com a região e o ID da conta aos quais a chave pertence. Substituir key-id com o ID da sua AWS KMS chave.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }