Configuración del cifrado en S3 Vectors - Amazon Simple Storage Service

Configuración del cifrado en S3 Vectors

En este tema se explica cómo establecer la configuración de cifrado de los índices y buckets vectoriales de S3.

Antes de empezar, asegúrese de que tiene lo siguiente:

  • Permisos adecuados para ver las propiedades de índice y bucket.

Configuración del cifrado de un bucket vectorial

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. En el panel de navegación, elija Buckets vectoriales.

  3. Elija Crear bucket vectorial.

  4. En Nombre del bucket, escriba un nombre para el bucket.

    El nombre del bucket debe:

    • Ser único dentro de la cuenta para esta región de AWS

    • Tener entre 3 y 63 caracteres

    • Constar únicamente de letras minúsculas, números y guiones (-)

  5. Para Cifrado, elija

    • Especificar tipo de cifrado. Elija un método de cifrado específico:

      • Cifrado del servidor con claves administradas de Amazon S3 (SSE-S3): con SSE-S3, Amazon S3 se encarga automáticamente de la generación, la rotación y la administración de las claves de cifrado.

      • Cifrado del servidor con claves del servicio de administración de claves de AWS (SSE-KMS): similar a SSE-S3, pero utiliza claves administradas por el cliente (CMK) en AWS KMS, lo que le proporciona un mayor control sobre las claves. Para obtener más información sobre las claves administradas por el cliente, consulte Claves administradas por el cliente en la Guía para desarrolladores del servicio de administración de claves de AWS.

        Si selecciona esta opción, en Clave de AWS KMS, elija una de las siguientes opciones:

        • Elija entre sus claves de AWS KMS: seleccione una clave de KMS existente en la lista desplegable.

        • Introduzca el ARN de la clave de AWS KMS: introduzca el nombre de recurso de Amazon (ARN) de una clave de KMS.

        • Crear una clave de KMS: cree una nueva clave administrada por el cliente en la consola de AWS KMS. Para obtener más información, consulte Creación de claves simétricas administradas por el cliente en la Guía para desarrolladores del servicio de administración de claves de AWS.

    nota

    Los siguientes requisitos se aplican a la clave de KMS:

    • El ID de la clave de AWS KMS no debe estar vacío.

    • La clave de KMS debe estar en la misma región en la que se está creando este bucket.

    • El ARN de la clave de AWS KMS debe comenzar por “arn:aws:kms:”.

    importante

    La configuración de cifrado no se puede cambiar después de crear el bucket vectorial.

  6. Si ha elegido Introduzca el ARN de la clave de AWS KMS, introduzca el ARN en el campo de texto proporcionado.

  7. Si ha elegido Crear una clave de KMS, la consola abre la consola de AWS KMS en una nueva pestaña. Para obtener instrucciones sobre la creación de una clave de KMS, consulte Creación de claves simétricas administradas por el cliente en la Guía para desarrolladores del servicio de administración de claves de AWS.

  8. Elija Crear bucket vectorial.

    importante

    Cuando utilice el cifrado de KMS, asegúrese de que las entidades principales de IAM que necesitan acceder a los objetos del bucket tengan el permiso de KMS necesario (kms:Decrypt) para la clave de KMS seleccionada.

Configuración del cifrado para un índice vectorial

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. En el panel de navegación, elija Buckets vectoriales.

  3. En la lista de buckets vectoriales, elija el nombre del bucket en el que desea crear un índice vectorial.

  4. Elija Crear índice vectorial.

  5. En Nombre del índice vectorial, introduzca un nombre para el índice vectorial.

    Los nombres de los índices vectoriales deben ser únicos en el bucket vectorial. El nombre de índice tener entre 3 y 63 caracteres. Los caracteres válidos son letras minúsculas (a-z), números (0-9), guiones (-) y puntos (.). Para obtener más información sobre los requisitos de nomenclatura de los índices vectoriales, consulte Reglas de nomenclatura de buckets vectoriales.

  6. En Dimensión, introduzca el número de valores de cada vector.

    nota

    • El valor de Dimensión determina cuántos valores numéricos contendrá cada vector.

    • Todos los vectores agregados a este índice deben tener exactamente este número de valores.

    • Una dimensión debe estar entre 1 y 4096.

    • Una dimensión mayor requiere más espacio de almacenamiento.

    • Elija en función de las dimensiones de salida del modelo de incrustación.

    Para obtener más información sobre los requisitos de dimensión, consulte Restricciones y limitaciones.

  7. En Métrica de distancia, elija una de las siguientes opciones:

    • Coseno: mide el coseno del ángulo entre vectores. Ideal para vectores normalizados y cuando la dirección es más importante que la magnitud.

    • Euclidiano: mide la distancia en línea recta entre vectores. Ideal cuando tanto la dirección como la magnitud son importantes.

  8. (Opcional) En Metadatos no filtrables, configure las claves de metadatos que se almacenarán pero no se utilizarán para filtrar:

    Para agregar claves de metadatos no filtrables:

    1. Elija Agregar clave.

    2. Introduzca un nombre de clave (debe tener de 1 a 63 caracteres y debe ser único en este índice vectorial).

    3. Repita el proceso para agregar claves adicionales (máximo diez claves).

    nota

    Puede asociar metadatos filtrables como pares clave-valor a cada vector al insertar datos vectoriales después de crear un índice vectorial. De forma predeterminada, todas las claves de metadatos asociadas a vectores son filtrables y se pueden utilizar como filtros en una consulta de similitud. Solo las claves de metadatos que se especifican como no filtrables durante la creación del índice vectorial se excluyen del filtrado. Para obtener más información sobre los límites de tamaño de metadatos por vector, incluidas las restricciones de metadatos totales y filtrables, consulte .

  9. Para el cifrado, elija Especificar el tipo de cifrado y, a continuación, elija una de las siguientes opciones:

    • Utilice la configuración de bucket para el cifrado: Amazon S3 aplica la configuración de cifrado de bucket vectorial para cifrar los datos vectoriales en el índice vectorial.

    • Invalide la configuración del bucket para el cifrado: especifique un tipo de cifrado específico para el índice vectorial:

      • Cifrado del servidor con claves administradas de Amazon S3 (SSE-S3): con SSE-S3, Amazon S3 se encarga automáticamente de la generación, la rotación y la administración de las claves de cifrado.

      • Cifrado del servidor con claves del servicio de administración de claves de AWS (SSE-KMS): similar a SSE-S3, pero utiliza claves administradas por el cliente (CMK) en AWS KMS, lo que le proporciona un mayor control sobre las claves. Para obtener más información sobre las claves administradas por el cliente, consulte Claves administradas por el cliente en la Guía para desarrolladores del servicio de administración de claves de AWS.

        Si selecciona esta opción, en Clave de AWS KMS, elija una de las siguientes opciones:

        • Elija entre sus claves de AWS KMS: seleccione una clave de KMS existente en la lista desplegable.

        • Introduzca el ARN de la clave de AWS KMS: introduzca el nombre de recurso de Amazon (ARN) de una clave de KMS.

        • Crear una clave de KMS: cree una nueva clave administrada por el cliente en la consola de AWS KMS. Para obtener más información, consulte Creación de claves simétricas administradas por el cliente en la Guía para desarrolladores del servicio de administración de claves de AWS.

        nota

        Los siguientes requisitos se aplican a la clave de KMS:

        • El ID de la clave de AWS KMS no debe estar vacío.

        • La clave de KMS debe estar en la misma región en la que se está creando este bucket.

        • El ARN de la clave de AWS KMS debe comenzar por “arn:aws:kms:”.

        importante

        • La configuración de cifrado no se puede cambiar después de crear el índice vectorial.

        • Si ha elegido Introduzca el ARN de la clave de AWS KMS, introduzca el ARN en el campo de texto proporcionado.

        • Si ha elegido Crear una clave de KMS, la consola abre la consola de AWS KMS en una nueva pestaña. Para obtener instrucciones sobre la creación de una clave de KMS, consulte Creación de claves simétricas administradas por el cliente en la Guía para desarrolladores del servicio de administración de claves de AWS.

        importante

        Cuando utilice el cifrado de KMS, asegúrese de que las entidades principales de IAM que necesitan acceder a los objetos del bucket tengan el permiso de KMS necesario (kms:Decrypt) para la clave de KMS seleccionada.

  10. En Etiquetas (Opcional), puede agregar etiquetas como pares clave-valor para ayudar a rastrear y organizar los costos del índice vectorial mediante Administración de facturación y costo de AWS. Introduzca la información pertinente en Key (Clave) y Value (Valor). Para agregar otra etiqueta, elija Add Tag (Añadir etiqueta). Puede ingresar un máximo de 50 etiquetas para un índice vectorial. Para obtener más información, consulte Uso de etiquetas con buckets vectoriales de S3.

  11. Revise la configuración cuidadosamente.

    nota

    Esta configuración no se puede cambiar después de la creación.

  12. Elija Crear índice vectorial.

En el siguiente ejemplo se muestra cómo crear un bucket vectorial con la configuración de cifrado de SSE-S3 mediante la AWS CLI. Para utilizar este ejemplo, reemplace los marcadores de posición de entrada del usuario con su propia información. 

aws s3vectors create-vector-bucket \
        --vector-bucket-name "amzn-s3-demo-vector-bucket" \
        --encryption-configuration '{"sseType": "AES256"}'

En el siguiente ejemplo se muestra cómo crear un bucket de vectores que utiliza la configuración de cifrado de SSE-KMS con una clave administrada por el cliente. Para utilizar este ejemplo, reemplace los marcadores de posición de entrada del usuario con su propia información. 

aws s3vectors create-vector-bucket \
        --vector-bucket-name "amzn-s3-demo-vector-bucket" \
        --encryption-configuration '{"sseType": "aws:kms", "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}'

En el siguiente ejemplo, se muestra cómo crear un índice vectorial con la configuración de cifrado de SSE-S3 mediante la AWS CLI. Para utilizar este ejemplo, reemplace los marcadores de posición de entrada del usuario con su propia información.

aws s3vectors create-index \
        --vector-bucket-name "amzn-s3-demo-vector-bucket" \
        --index-name "amzn-s3-demo-vector-index" \
        --encryption-configuration '{"sseType": "AES256"}'

En el siguiente ejemplo, se muestra cómo crear un índice vectorial que utiliza la configuración de cifrado de SSE-KMS con una clave administrada por el cliente. Para utilizar este ejemplo, reemplace los marcadores de posición de entrada del usuario con su propia información.

aws s3vectors create-index \
        --vector-bucket-name "amzn-s3-demo-vector-bucket" \
        --index-name "amzn-s3-demo-vector-index" \
        --encryption-configuration '{"sseType": "aws:kms", "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890abc"}'

En los siguientes ejemplos, se muestra cómo crear un índice vectorial mediante la configuración de cifrado del bucket vectorial. Para utilizar este ejemplo, reemplace los marcadores de posición de entrada del usuario con su propia información.

aws s3vectors create-index \
        --vector-bucket-name "amzn-s3-demo-vector-bucket" \
        --index-name "amzn-s3-demo-vector-index" \