

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Bedrock 的 Security Hub CSPM 控制項
<a name="bedrock-controls"></a>

這些AWS Security Hub CSPM控制項會評估 Amazon Bedrock 服務和資源。控制項可能無法全部使用AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Bedrock.1】 Amazon Bedrock 資料來源應使用客戶受管AWS KMS金鑰加密
<a name="bedrock-1"></a>

**類別：**保護 ‒ 資料保護 ‒ 靜態資料加密

**嚴重性：**中

**資源類型：** `AWS::Bedrock::DataSource`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/bedrock-data-source-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/bedrock-data-source-encryption-enabled.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon Bedrock 資料來源是否使用客戶受管AWS KMS金鑰進行靜態加密。如果資料來源未使用客戶受管 KMS 金鑰加密，則控制項會失敗。

根據預設，Amazon Bedrock 會使用AWS受管金鑰加密資料來源內容。使用客戶受管 KMS 金鑰可讓您完全控制加密金鑰生命週期，包括輪換、存取政策和稽核AWS CloudTrail。這有助於滿足對擷取到知識庫的敏感資料強制客戶控制加密的合規要求。

### 修補
<a name="bedrock-1-remediation"></a>

若要使用客戶受管 KMS 金鑰加密 Amazon Bedrock 資料來源，請參閱《[Amazon Bedrock 使用者指南》中的修改 Amazon Bedrock 知識庫的資料來源](https://docs.aws.amazon.com/bedrock/latest/userguide/kb-ds-update.html)。 **