本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
知識庫資源的加密
Amazon Bedrock 會加密與您的知識庫相關的資源。根據預設,Amazon 基岩會使用受管金鑰加密此資料。 AWS 或者,您可以使用客戶管理的金鑰加密模型成品。
使用KMS金鑰加密可能會在下列程序中進行:
-
擷取您的資料來源時的暫時性資料儲存
-
如果您讓 Amazon 基岩設置向量數據庫,請將信息傳遞給 OpenSearch 服務
-
查詢知識庫
您的知識庫使用的以下資源可以使用密KMS鑰進行加密。如果您加密它們,則需要添加權限來解密密KMS鑰。
-
存放在 Amazon S3 儲存貯體中的資料來源
-
第三方向量存放區
如需詳細資訊 AWS KMS keys,請參閱AWS Key Management Service 開發人員指南中的客戶管理金鑰。
注意
Amazon Bdrock 知識庫使用TLS加密與第三方向量存放區進行通訊,供應商允許並支援傳輸中的TLS加密。
主題
資料擷取期間的暫時性資料儲存加密
當您為知識庫設定資料擷取工作時,您可以使用自訂KMS金鑰加密工作。
若要允許在擷取資料來源的過程中建立暫時性資料儲存的 AWS KMS 金鑰,請將以下政策附加到 Amazon 基岩服務角色。更換 region
, account-id
和 key-id
具有適當的值。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
region
:account-id
:key/key-id
" ] } ] }
加密傳遞給 Amazon OpenSearch 服務的信息
如果您選擇讓 Amazon 基岩在 Amazon OpenSearch 服務中為您的知識庫創建矢量存儲,Amazon 基岩可以將您選擇的KMS密鑰傳遞給 Amazon OpenSearch 服務進行加密。若要進一步了解 Amazon OpenSearch 服務中的加密,請參閱 Amazon OpenSearch 服務中的加密。
知識庫檢索加密
您可以透過使用KMS金鑰查詢知識庫來加密產生回應的工作階段。若要這麼做,請在ARN提出要求時在kmsKeyArn
欄位中加入RetrieveAndGenerate索KMS引鍵。附加下列原則,取代 values
適當地允許 Amazon 基岩加密工作階段內容。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:
region
:account-id
:key/key-id
} ] }
在 Amazon S3 中為您的資料來源解密 AWS KMS 金鑰的許可
您可以將知識庫的資料來源存放在您的 Amazon S3 儲存貯體中。若要靜態加密這些文件,您可以使用 Amazon S3 SSE-S3 伺服器端加密選項。使用此選項,物件會使用 Amazon S3 服務管理的服務金鑰加密。
如需詳細資訊,請參閱 Amazon 簡單儲存服務使用者指南中的使用 Amazon S3 受管加密金鑰 (SSE-S3) 使用伺服器端加密來保護資料。
如果您使用自訂 AWS KMS 金鑰在 Amazon S3 中加密資料來源,請將以下政策附加到 Amazon 基岩服務角色,以允許 Amazon 基岩解密您的金鑰。Replace (取代) region
以及 account-id
使用金鑰所屬的區域和帳戶 ID。Replace (取代) key-id
與您的 AWS KMS 密鑰的 ID。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "KMS:Decrypt", ], "Resource": [ "arn:aws:kms:
region
:account-id
:key/key-id
" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.region
.amazonaws.com" ] } } }] }
解密包含您知識庫的向量存放區密 AWS Secrets Manager 碼的權限
如果包含您知識庫的向量存放區設定了 AWS Secrets Manager 秘密,您可以按照中的 Secret 加密和解密中的步驟,使用自訂 AWS KMS 金鑰加密密碼 AWS Secrets Manager。
如果您這麼做,只要將下列政策連接到 Amazon Bedrock 服務角色,就能允許將您的金鑰解密。Replace (取代) region
以及 account-id
使用金鑰所屬的區域和帳戶 ID。Replace (取代) key-id
與您的 AWS KMS 密鑰的 ID。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:
region
:account-id
:key/key-id
" ] } ] }