本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
知识库资源的加密
Amazon Bedrock 会加密与知识库相关的资源。默认情况下,Amazon Bedrock 使用 AWS 托管密钥对这些数据进行加密。或者,您可以使用客户托管式密钥对模型构件进行加密。
使用密KMS钥加密可以通过以下过程进行:
-
提取数据来源时的临时数据存储
-
如果您让 Amazon Bedrock 设置矢量数据库,则会将信息传递给 OpenSearch 服务部门
-
查询知识库
知识库使用的以下资源可以使用KMS密钥进行加密。如果您对其进行加密,则需要添加解密密钥的KMS权限。
-
存储在 Amazon S3 存储桶中的数据来源
-
第三方向量存储
有关更多信息 AWS KMS keys,请参阅《AWS Key Management Service 开发人员指南》中的客户托管密钥。
注意
Amazon Bedrock 知识库使用TLS加密技术与第三方矢量存储进行通信,提供商允许并支持传输中的TLS加密。
主题
加密数据提取期间的临时数据存储
在为知识库设置数据摄取任务时,您可以使用自定义KMS密钥对作业进行加密。
要允许在摄取数据源的过程中为临时数据存储创建 AWS KMS 密钥,请将以下策略附加到您的 Amazon Bedrock 服务角色。更换 region
, account-id
,以及 key-id
使用适当的值。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
region
:account-id
:key/key-id
" ] } ] }
对传递给 Amazon OpenSearch 服务的信息进行加密
如果您选择让 Amazon Bedrock 在亚马逊 OpenSearch 服务中为您的知识库创建矢量存储,Amazon Bedrock 可以将您选择的KMS密钥传递给亚马逊 OpenSearch 服务进行加密。要了解有关亚马逊 OpenSearch 服务加密的更多信息,请参阅亚马逊 OpenSearch 服务中的加密。
加密知识库检索
您可以对通过使用密KMS钥查询知识库生成响应的会话进行加密。为此,请在RetrieveAndGenerate发出请求时在kmsKeyArn
字段中包含KMS密钥的。ARN附上以下政策,替换 values
适当地允许 Amazon Bedrock 对会话上下文进行加密。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
} ] }
解密您在 Amazon S3 中的数据源的 AWS KMS 密钥的权限
您将知识库的数据来源存储在 Amazon S3 存储桶中。要加密这些静态文档,您可以使用 Amazon S3 SSE-S3 服务器端加密选项。通过此选项,将使用由 Amazon S3 服务管理的服务密钥为对象加密。
有关更多信息,请参阅《亚马逊简单存储服务用户指南》中的使用 Amazon S3 托管加密密钥 (SSE-S3) 使用服务器端加密保护数据。
如果您使用自定义 AWS KMS 密钥加密了 Amazon S3 中的数据源,请将以下策略附加到您的 Amazon Bedrock 服务角色,以允许 Amazon Bedrock 解密您的密钥。Replace(替换) region
以及 account-id
以及密钥所属的地区和账户 ID。Replace(替换) key-id
附上您的 AWS KMS 密钥的 ID。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "KMS:Decrypt", ], "Resource": [ "arn:aws:kms:
region
:account-id
:key/key-id
" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.region
.amazonaws.com" ] } } }] }
解密包含知识库的矢量存储的 AWS Secrets Manager 密钥的权限
如果包含知识库的矢量存储配置了 AWS Secrets Manager 密钥,则可以按照中的密钥加密和解密中的步骤使用自定义密 AWS KMS 钥对密钥进行加密。 AWS Secrets Manager
如果您这样做,请将以下策略附加到 Amazon Bedrock 服务角色,以允许它将密钥解密。Replace(替换) region
以及 account-id
以及密钥所属的地区和账户 ID。Replace(替换) key-id
附上您的 AWS KMS 密钥的 ID。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
region
:account-id
:key/key-id
" ] } ] }