知識庫資源的加密 - Amazon Bedrock

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

知識庫資源的加密

Amazon Bedrock 會加密與您的知識庫相關的資源。根據預設,Amazon 基岩會使用受管金鑰加密此資料。 AWS 或者,您可以使用客戶管理的金鑰加密模型成品。

使用KMS金鑰加密可能會在下列程序中進行:

  • 擷取您的資料來源時的暫時性資料儲存

  • 如果您讓 Amazon 基岩設置向量數據庫,請將信息傳遞給 OpenSearch 服務

  • 查詢知識庫

您的知識庫使用的以下資源可以使用密KMS鑰進行加密。如果您加密它們,則需要添加權限來解密密KMS鑰。

  • 存放在 Amazon S3 儲存貯體中的資料來源

  • 第三方向量存放區

如需詳細資訊 AWS KMS keys,請參閱AWS Key Management Service 開發人員指南中的客戶管理金鑰

注意

Amazon Bdrock 知識庫使用TLS加密與第三方向量存放區進行通訊,供應商允許並支援傳輸中的TLS加密。

資料擷取期間的暫時性資料儲存加密

當您為知識庫設定資料擷取工作時,您可以使用自訂KMS金鑰加密工作。

若要允許在擷取資料來源的過程中建立暫時性資料儲存的 AWS KMS 金鑰,請將以下政策附加到 Amazon 基岩服務角色。更換 region, account-idkey-id 具有適當的值。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }

加密傳遞給 Amazon OpenSearch 服務的信息

如果您選擇讓 Amazon 基岩在 Amazon OpenSearch 服務中為您的知識庫創建矢量存儲,Amazon 基岩可以將您選擇的KMS密鑰傳遞給 Amazon OpenSearch 服務進行加密。若要進一步了解 Amazon OpenSearch 服務中的加密,請參閱 Amazon OpenSearch 服務中的加密。

知識庫檢索加密

您可以透過使用KMS金鑰查詢知識庫來加密產生回應的工作階段。若要這麼做,請在ARN提出要求時在kmsKeyArn欄位中加入RetrieveAndGenerate索KMS引鍵。附加下列原則,取代 values 適當地允許 Amazon 基岩加密工作階段內容。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:region:account-id:key/key-id } ] }

在 Amazon S3 中為您的資料來源解密 AWS KMS 金鑰的許可

您可以將知識庫的資料來源存放在您的 Amazon S3 儲存貯體中。若要靜態加密這些文件,您可以使用 Amazon S3 SSE-S3 伺服器端加密選項。使用此選項,物件會使用 Amazon S3 服務管理的服務金鑰加密。

如需詳細資訊,請參閱 Amazon 簡單儲存服務使用者指南中的使用 Amazon S3 受管加密金鑰 (SSE-S3) 使用伺服器端加密來保護資料

如果您使用自訂 AWS KMS 金鑰在 Amazon S3 中加密資料來源,請將以下政策附加到 Amazon 基岩服務角色,以允許 Amazon 基岩解密您的金鑰。Replace (取代) region 以及 account-id 使用金鑰所屬的區域和帳戶 ID。Replace (取代) key-id 與您的 AWS KMS 密鑰的 ID。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "KMS:Decrypt", ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.region.amazonaws.com" ] } } }] }

解密包含您知識庫的向量存放區密 AWS Secrets Manager 碼的權限

如果包含您知識庫的向量存放區設定了 AWS Secrets Manager 秘密,您可以按照中的 Secret 加密和解密中的步驟,使用自訂 AWS KMS 金鑰加密密碼 AWS Secrets Manager。

如果您這麼做,只要將下列政策連接到 Amazon Bedrock 服務角色,就能允許將您的金鑰解密。Replace (取代) region 以及 account-id 使用金鑰所屬的區域和帳戶 ID。Replace (取代) key-id 與您的 AWS KMS 密鑰的 ID。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }