本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Bedrock 使用加密来保护静态数据和传输中数据。
传输中加密
在内部 AWS,所有传输中的网络间数据都支持 TLS 1.2 加密。
通过安全 (SSL) 连接发出对 Amazon Bedrock API 和控制台的请求。您将 AWS Identity and Access Management (IAM) 角色传递给 Amazon Bedrock,以提供代表您访问资源以进行培训和部署的权限。
静态加密
Amazon Bedrock 提供静态模型自定义作业和构件的加密。
密钥管理
使用 AWS Key Management Service 来管理用于加密资源的密钥。有关更多信息,请参阅 AWS Key Management Service 概念。您可以使用 KMS 密钥来加密以下资源。
-
通过 Amazon Bedrock
-
模型自定义任务及其输出自定义模型-在控制台中创建任务期间或通过在 CreateModelCustomizationJobAPI 调用中指定
customModelKmsKeyId字段。 -
代理-在控制台中创建代理期间,或者在 CreateAgentAPI 调用中指定
customerEncryptionKeyArn字段。 -
知识库的数据源提取作业-在控制台中创建知识库期间,或者通过在CreateDataSource或 UpdateDataSourceAPI 调用中指定
kmsKeyArn字段。 -
Amazon S OpenSearch ervice 中的矢量存储-在创建矢量商店期间。有关更多信息,请参阅创建、列出和删除亚马逊 OpenSearch 服务馆藏以及加密亚马逊 OpenSearch 服务的静态数据。
-
模型评估作业 — 在控制台中创建模型评估任务或在 CreateEvaluationJobAPI 调用
customerEncryptionKeyId中指定密钥 ARN 时。
-
-
通过 Amazon S3 — 有关更多信息,请参阅使用带 AWS KMS 密钥的服务器端加密 (SSE- KMS)。
-
用于模型自定义的训练、验证和输出数据
-
知识库的数据来源
-
-
通过 AWS Secrets Manager — 有关更多信息,请参阅中的秘密加密和解密 AWS Secrets Manager
-
第三方模型的向量存储
-
加密资源后,您可以通过选择资源并在控制台中查看其详细信息或使用以下 Get API 调用来查找 KMS 密钥的 ARN。
