Verschlüsselung der vorübergehenden Datenspeicherung während der Datenerfassung Verschlüsselung von Informationen, die an Amazon OpenSearch Service weitergegeben werden Verschlüsselung von Informationen, die an Amazon S3 Vectors weitergegeben werden Verschlüsselung von Wissensdatenbankabrufen Berechtigungen zum Entschlüsseln Ihres AWS KMS Schlüssels für Ihre Datenquellen in Amazon S3 Berechtigungen zum Entschlüsseln eines AWS Secrets Manager Geheimnisses für den Vektorspeicher, der Ihre Wissensdatenbank enthält Berechtigungen für Bedrock Data Automation (BDA) mit Verschlüsselung AWS KMS

Verschlüsselung von Wissensdatenbankressourcen

Amazon Bedrock verschlüsselt Ressourcen, die sich auf Ihre Wissensdatenbanken beziehen. Standardmäßig verschlüsselt Amazon Bedrock diese Daten mit einem eigenen SchlüsselAWS. Optional können Sie die Modellartefakte mit einem kundenseitig verwalteten Schlüssel verschlüsseln.

Die Verschlüsselung mit einem KMS-Schlüssel kann mit den folgenden Prozessen erfolgen:

Vorübergehende Datenspeicherung während der Erfassung Ihrer Datenquellen
Weitergabe von Informationen an den OpenSearch Service, wenn Sie Amazon Bedrock die Einrichtung Ihrer Vektordatenbank überlassen
Abfragen einer Wissensdatenbank

Die folgenden Ressourcen, die von Ihren Wissensdatenbanken verwendet werden, können mit einem KMS-Schlüssel verschlüsselt werden. Wenn Sie sie verschlüsseln, müssen Sie Berechtigungen zum Entschlüsseln des KMS-Schlüssels hinzufügen.

In einem Amazon-S3-Bucket gespeicherte Datenquellen
Vektorspeicher von Drittanbietern

Weitere Informationen zu finden Sie AWS KMS keys unter Vom Kunden verwaltete Schlüssel im AWS Key Management ServiceEntwicklerhandbuch.

Anmerkung

Wissensdatenbanken für Amazon Bedrock verwendet TLS-Verschlüsselung für die Kommunikation mit Datenquellen-Connectors und Vektorspeichern von Drittanbietern, sofern der Anbieter die TLS-Verschlüsselung bei der Übertragung zulässt und unterstützt.

Themen

Verschlüsselung der vorübergehenden Datenspeicherung während der Datenerfassung
Verschlüsselung von Informationen, die an Amazon OpenSearch Service weitergegeben werden
Verschlüsselung von Informationen, die an Amazon S3 Vectors weitergegeben werden
Verschlüsselung von Wissensdatenbankabrufen
Berechtigungen zum Entschlüsseln Ihres AWS KMS Schlüssels für Ihre Datenquellen in Amazon S3
Berechtigungen zum Entschlüsseln eines AWS Secrets Manager Geheimnisses für den Vektorspeicher, der Ihre Wissensdatenbank enthält
Berechtigungen für Bedrock Data Automation (BDA) mit Verschlüsselung AWS KMS

Verschlüsselung der vorübergehenden Datenspeicherung während der Datenerfassung

Wenn Sie einen Datenerfassungsauftrag für Ihre Wissensdatenbank einrichten, können Sie den Auftrag mit einem benutzerdefinierten KMS-Schlüssel verschlüsseln.

Um die Erstellung eines AWS KMS Schlüssels für die Speicherung vorübergehender Daten während der Aufnahme Ihrer Datenquelle zu ermöglichen, fügen Sie Ihrer Amazon Bedrock-Servicerolle die folgende Richtlinie bei. Ersetzen Sie die Beispielwerte durch Ihre eigene AWS Region, Konto-ID und AWS KMS Schlüssel-ID.

Verschlüsselung von Informationen, die an Amazon OpenSearch Service weitergegeben werden

Wenn Sie sich dafür entscheiden, Amazon Bedrock in Amazon OpenSearch Service einen Vector Store für Ihre Wissensdatenbank erstellen zu lassen, kann Amazon Bedrock einen von Ihnen ausgewählten KMS-Schlüssel zur Verschlüsselung an Amazon OpenSearch Service weitergeben. Weitere Informationen zur Verschlüsselung in Amazon OpenSearch Service finden Sie unter Verschlüsselung in Amazon OpenSearch Service.

Verschlüsselung von Informationen, die an Amazon S3 Vectors weitergegeben werden

Wenn Sie sich dafür entscheiden, Amazon Bedrock in Amazon S3 Vectors einen S3-Vektor-Bucket und Vektorindex für Ihre Wissensdatenbank erstellen zu lassen, kann Amazon Bedrock einen von Ihnen ausgewählten KMS-Schlüssel zur Verschlüsselung an Amazon S3 Vectors weitergeben. Weitere Informationen zur Verschlüsselung in Amazon S3 Vectors finden Sie unter Verschlüsselung mit Amazon S3 Vectors.

Verschlüsselung von Wissensdatenbankabrufen

Sie können Sitzungen, in denen Sie Antworten durch Abfragen einer Wissensdatenbank generieren, mit einem KMS-Schlüssel verschlüsseln. Geben Sie dazu den ARN eines KMS-Schlüssels in das kmsKeyArn Feld ein, wenn RetrieveAndGenerateSie eine Anfrage stellen. Fügen Sie die folgende Richtlinie bei und ersetzen Sie die Beispielwerte durch Ihre eigene AWS Region, Konto-ID und AWS KMS Schlüssel-ID, damit Amazon Bedrock den Sitzungskontext verschlüsseln kann.

Berechtigungen zum Entschlüsseln Ihres AWS KMS Schlüssels für Ihre Datenquellen in Amazon S3

Sie speichern die Datenquellen für Ihre Wissensdatenbank in Ihrem Amazon-S3-Bucket. Wenn Sie diese Dokumente im Ruhezustand verschlüsseln möchten, können Sie die serverseitige Verschlüsselungsoption von Amazon S3 SSE-S3 verwenden. Mit dieser Option werden Objekte mit Serviceschlüsseln verschlüsselt, die vom Amazon-S3-Service verwaltet werden.

Weitere Informationen finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung mit Amazon-S3-verwalteten Verschlüsselungsschlüsseln (SSE-S3) im Benutzerhandbuch von Amazon Simple Storage Service.

Wenn Sie Ihre Datenquellen in Amazon S3 mit einem benutzerdefinierten AWS KMS Schlüssel verschlüsselt haben, fügen Sie Ihrer Amazon Bedrock-Servicerolle die folgende Richtlinie bei, damit Amazon Bedrock Ihren Schlüssel entschlüsseln kann. Ersetzen Sie die Beispielwerte durch Ihre eigene AWS Region, Konto-ID und AWS KMS Schlüssel-ID.

Berechtigungen zum Entschlüsseln eines AWS Secrets Manager Geheimnisses für den Vektorspeicher, der Ihre Wissensdatenbank enthält

Wenn der Vektorspeicher, der Ihre Wissensdatenbank enthält, mit einem AWS Secrets Manager Geheimnis konfiguriert ist, können Sie das Geheimnis mit einem benutzerdefinierten AWS KMS Schlüssel verschlüsseln, indem Sie die Schritte unter Verschlüsselung und Entschlüsselung von Geheimnissen unter befolgen. AWS Secrets Manager

Fügen Sie Ihrer Amazon-Bedrock-Servicerolle in diesem Fall die folgende Richtlinie an, damit sie Ihren Schlüssel entschlüsseln kann. Ersetzen Sie die Beispielwerte durch Ihre eigene AWS Region, Konto-ID und AWS KMS Schlüssel-ID.

Berechtigungen für Bedrock Data Automation (BDA) mit Verschlüsselung AWS KMS

Bei der Verwendung von BDA zur Verarbeitung multimodaler Inhalte mit vom Kunden verwalteten AWS KMS Schlüsseln sind zusätzliche Berechtigungen erforderlich, die über die Standardberechtigungen hinausgehen. AWS KMS

Fügen Sie Ihrer Amazon Bedrock-Servicerolle die folgende Richtlinie bei, damit BDA mit verschlüsselten Multimediadateien arbeiten kann. Ersetzen Sie die Beispielwerte durch Ihre eigene AWS Region, Konto-ID und AWS KMS Schlüssel-ID.


{
    "Sid": "KmsPermissionStatementForBDA",
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:CreateGrant"
    ],
    "Resource": "arn:aws:kms:region:account-id:key/key-id",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "account-id",
            "kms:ViaService": "bedrock.region.amazonaws.com"
        }
    }
}

Zu den BDA-spezifischen Berechtigungen gehören auch kms:DescribeKey kms:CreateGrant Aktionen, die BDA benötigt, um verschlüsselte Audio-, Video- und Bilddateien zu verarbeiten.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verschlüsselung von Flow-Ressourcen

Schützen Ihrer Daten mit Amazon VPC