知识库资源的加密 - Amazon Bedrock
加密数据提取期间的临时数据存储对传递给 Amazon OpenSearch 服务的信息进行加密加密知识库检索解密您在 Amazon S3 中的数据源的 AWS KMS 密钥的权限解密包含知识库的矢量存储的 AWS Secrets Manager 密钥的权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

知识库资源的加密

Amazon Bedrock 会加密与知识库相关的资源。默认情况下,Amazon Bedrock 使用 AWS 托管密钥对这些数据进行加密。或者,您可以使用客户托管式密钥对模型构件进行加密。

支持使用 KMS 密钥进行加密的过程如下:

  • 提取数据来源时的临时数据存储

  • 如果您让 Amazon Bedrock 设置矢量数据库,则会将信息传递给 OpenSearch 服务部门

  • 查询知识库

知识库使用的下列资源也可以使用 KMS 密钥进行加密。如果加密这些资源,则需要添加权限以解密 KMS 密钥。

  • 存储在 Amazon S3 存储桶中的数据来源

  • 第三方向量存储

有关更多信息 AWS KMS keys,请参阅《AWS Key Management Service 开发人员指南》中的客户托管密钥

注意

Amazon Bedrock 知识库使用 TLS 加密与第三方数据源连接器和矢量存储进行通信,提供商允许并支持传输中的 TLS 加密。

加密数据提取期间的临时数据存储

在为知识库设置数据提取作业时,可以使用自定义 KMS 密钥加密作业。

要允许在摄取数据源的过程中为临时数据存储创建 AWS KMS 密钥,请将以下策略附加到您的 Amazon Bedrock 服务角色。将region、和 account-idkey-id,替换为相应的值。

{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
              "kms:GenerateDataKey",
              "kms:Decrypt"
          ],
          "Resource": [
              "arn:aws:kms:region:account-id:key/key-id"
          ]
        }
    ]
}

对传递给 Amazon OpenSearch 服务的信息进行加密

如果您选择让 Amazon Bedrock 在亚马逊 OpenSearch 服务中为您的知识库创建矢量存储,Amazon Bedrock 可以将您选择的 KMS 密钥传递给亚马逊 OpenSearch 服务进行加密。要了解有关亚马逊 OpenSearch 服务加密的更多信息,请参阅亚马逊 OpenSearch 服务中的加密

加密知识库检索

您可以使用 KMS 密钥加密在查询知识库时生成响应的会话。为此,请在发出请求时在kmsKeyArn字段中包含 KMS 密钥的 ARN。RetrieveAndGenerate附上以下策略,values相应地替换以允许 Amazon Bedrock 加密会话上下文。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey", 
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id
        }
    ]
}

解密您在 Amazon S3 中的数据源的 AWS KMS 密钥的权限

您将知识库的数据来源存储在 Amazon S3 存储桶中。要对这些静态文档进行加密,您可以使用 Amazon S3 SSE-S3 服务器端加密选项。通过此选项,将使用由 Amazon S3 服务管理的服务密钥为对象加密。

有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的使用采用 Amazon S3 托管加密密钥的服务器端加密 (SSE-S3) 保护数据

如果您使用自定义 AWS KMS 密钥加密了 Amazon S3 中的数据源,请将以下策略附加到您的 Amazon Bedrock 服务角色,以允许 Amazon Bedrock 解密您的密钥。将regionaccount-id替换为密钥所属的区域和账户 ID。key-id替换为 AWS KMS 密钥的 ID。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "KMS:Decrypt",
        ],
        "Resource": [
            "arn:aws:kms:region:account-id:key/key-id"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": [
                    "s3.region.amazonaws.com"
               ]
           }
        }
    }]
}

解密包含知识库的矢量存储的 AWS Secrets Manager 密钥的权限

如果包含知识库的矢量存储配置了 AWS Secrets Manager 密钥,则可以按照中的密钥加密和解密中的步骤使用自定义密 AWS KMS 钥对密钥进行加密。 AWS Secrets Manager

如果您这样做,请将以下策略附加到 Amazon Bedrock 服务角色,以允许它将密钥解密。将regionaccount-id替换为密钥所属的区域和账户 ID。key-id替换为 AWS KMS 密钥的 ID。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/key-id"
            ]
        }
    ]
}