知識庫資源的加密 - Amazon Bedrock
資料擷取期間的暫時性資料儲存加密將資訊加密傳遞至 Amazon OpenSearch Service知識庫檢索加密在 Amazon S3 中解密資料來源 AWS KMS 金鑰的許可解密包含知識庫之向量存放區的 AWS Secrets Manager 秘密的許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

知識庫資源的加密

Amazon Bedrock 會加密與您的知識庫相關的資源。根據預設,Amazon Bedrock 會使用 AWS 受管金鑰加密此資料。或者,您可以使用客戶管理的金鑰加密模型成品。

下列程序可能會使用 KMS 金鑰進行加密:

  • 擷取您的資料來源時的暫時性資料儲存

  • 如果您讓 Amazon Bedrock 設定向量資料庫,請將資訊傳遞給 OpenSearch Service

  • 查詢知識庫

您的知識庫使用的下列資源,可以使用 KMS 金鑰加密。如果您將資源加密,您需要新增許可權來解密 KMS 金鑰。

  • 存放在 Amazon S3 儲存貯體中的資料來源

  • 第三方向量存放區

如需詳細資訊 AWS KMS keys,請參閱《 AWS Key Management Service 開發人員指南》中的客戶受管金鑰

注意

Amazon Bedrock 知識庫使用 TLS 加密與第三方資料來源連接器和向量存放區進行通訊,提供者允許並支援傳輸中的 TLS 加密。

資料擷取期間的暫時性資料儲存加密

為知識庫設定資料擷取任務時,可以使用自訂 KMS 金鑰加密任務。

若要允許在擷取資料來源的過程中建立暫時性資料儲存的 AWS KMS 金鑰,請將下列政策連接至您的 Amazon Bedrock 服務角色。以適當的值取代區域account-idkey-id

{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
              "kms:GenerateDataKey",
              "kms:Decrypt"
          ],
          "Resource": [
              "arn:aws:kms:region:account-id:key/key-id"
          ]
        }
    ]
}

將資訊加密傳遞至 Amazon OpenSearch Service

如果您選擇讓 Amazon Bedrock 在 Amazon OpenSearch Service 中為您的知識庫建立向量存放區,Amazon Bedrock 可以將您選擇的 KMS 密鑰傳遞至 Amazon OpenSearch Service 服務進行加密。若要進一步了解 Amazon OpenSearch Service 中的加密,請參閱 Amazon OpenSearch Service 中的加密

知識庫檢索加密

您可以透過使用 KMS 金鑰查詢知識庫來加密產生回應的工作階段。若要這麼做,請在提出 RetrieveAndGenerate 請求時,在 kmsKeyArn 欄位中包含 KMS 金鑰的 ARN。附加下列政策,適當地取代,以允許 Amazon Bedrock 為工作階段內容加密。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey", 
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id
        }
    ]
}

在 Amazon S3 中解密資料來源 AWS KMS 金鑰的許可

您可以將知識庫的資料來源存放在您的 Amazon S3 儲存貯體中。若要將這些靜態文件加密,您可以使用 Amazon S3 SSE-S3 伺服器端加密選項。使用此選項,物件會使用 Amazon S3 服務管理的服務金鑰加密。

如需詳細資訊,請參閱 Amazon Simple Storage Service 使用者指南中的透過 Amazon S3 受管加密金鑰 (SSE-S3) 使用伺服器端加密來保護資料

如果您使用自訂 AWS KMS 金鑰在 Amazon S3 中加密資料來源,請將下列政策連接至 Amazon Bedrock 服務角色,以允許 Amazon Bedrock 解密您的金鑰。將區域帳戶 ID 取代為金鑰所屬的區域和帳戶 ID。將 key-id 取代為您的 AWS KMS 金鑰 ID。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "KMS:Decrypt",
        ],
        "Resource": [
            "arn:aws:kms:region:account-id:key/key-id"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": [
                    "s3.region.amazonaws.com"
               ]
           }
        }
    }]
}

解密包含知識庫之向量存放區的 AWS Secrets Manager 秘密的許可

如果包含知識庫的向量存放區已設定 AWS Secrets Manager 秘密,您可以依照秘密加密和解密中的步驟,使用自訂 AWS KMS 金鑰來加密秘密。 AWS Secrets Manager

如果您這麼做,只要將下列政策連接到 Amazon Bedrock 服務角色,就能允許將您的金鑰解密。將區域帳戶 ID 取代為金鑰所屬的區域和帳戶 ID。將 key-id 取代為您的 AWS KMS 金鑰 ID。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/key-id"
            ]
        }
    ]
}