Chiffrement des ressources des bases de connaissances

Amazon Bedrock chiffre les ressources liées à vos bases de connaissances. Par défaut, Amazon Bedrock chiffre ces données à l’aide d’une clé détenue par AWS. Vous pouvez éventuellement chiffrer les artefacts du modèle à l’aide d’une clé gérée par le client.

Le chiffrement avec une clé KMS peut être effectué à l’aide des processus suivants :

Les ressources suivantes utilisées par vos bases de connaissances peuvent être chiffrées à l’aide d’une clé KMS. Si vous les chiffrez, vous devez ajouter des autorisations pour déchiffrer la clé KMS.

Pour plus d’informations sur AWS KMS keys, consultez Clés gérées par le client dans le Guide du développeur AWS Key Management Service.

Chiffrement du stockage des données transitoires lors de l’ingestion de données

Lorsque vous configurez une tâche d’ingestion de données pour votre base de connaissances, vous pouvez la chiffrer à l’aide d’une clé KMS personnalisée.

Pour autoriser la création d’une clé AWS KMS pour le stockage de données transitoires lors du processus d’ingestion de votre source de données, associez la politique suivante à votre rôle de service Amazon Bedrock. Remplacez les valeurs d’exemple par votre propre région AWS, ID de compte et ID de clé AWS KMS.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/key-id"
            ]
        }
    ]
}

Chiffrement des informations transmises à Amazon OpenSearch Service

Si vous choisissez de laisser Amazon Bedrock créer un stockage vectoriel dans Amazon OpenSearch Service pour votre base de connaissances, Amazon Bedrock peut transmettre une clé KMS de votre choix à Amazon OpenSearch Service à des fins de chiffrement. Pour en savoir plus sur le chiffrement dans Amazon OpenSearch Service, consultez Chiffrement dans Amazon OpenSearch Service.

Chiffrement des informations transmises à Amazon S3 Vectors

Si vous choisissez de laisser Amazon Bedrock créer un compartiment vectoriel et un index vectoriel dans Amazon S3 Vectors pour votre base de connaissances, Amazon Bedrock peut transmettre une clé KMS de votre choix à Amazon S3 Vectors à des fins de chiffrement. Pour plus d’informations sur le chiffrement dans Amazon S3 Vectors, consultez Chiffrement avec Amazon S3 Vectors.

Chiffrement de la récupération des bases de connaissances

Vous pouvez chiffrer les sessions au cours desquelles vous générez des réponses en interrogeant une base de connaissances à l’aide d’une clé KMS. Pour ce faire, incluez l’ARN d’une clé KMS dans le champ kmsKeyArn lorsque vous effectuez une demande RetrieveAndGenerate. Associez la politique suivante, en remplaçant les valeurs d’exemple par votre propre région AWS, votre ID de compte et votre ID de clé AWS KMS pour permettre à Amazon Bedrock de chiffrer le contexte de la session.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}

Autorisations permettant de déchiffrer la clé AWS KMS pour vos sources de données dans Amazon S3

Vous stockez les sources de données de votre base de connaissances dans votre compartiment Amazon S3. Pour chiffrer ces documents au repos, vous pouvez utiliser l’option de chiffrement côté serveur SSE-S3 d’Amazon S3. Avec cette option, les objets sont chiffrés avec des clés de service gérées par le service Amazon S3.

Pour plus d’informations, consultez la section Protection des données à l’aide du chiffrement côté serveur avec les clés de chiffrement gérés par Amazon S3 (SSE-S3) dans le Guide de l’utilisateur Amazon Simple Storage Service.

Si vous avez chiffré vos sources de données dans Amazon S3 avec une clé AWS KMS personnalisée, associez la politique suivante à votre rôle de service Amazon Bedrock afin de permettre à Amazon Bedrock de déchiffrer la clé. Remplacez les valeurs d’exemple par votre propre région AWS, ID de compte et ID de clé AWS KMS.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "KMS:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/key-id"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": [
                        "s3.us-east-1.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Autorisations permettant de déchiffrer un secret AWS Secrets Manager pour le stockage vectoriel contenant votre base de connaissances

Si le stockage vectoriel contenant votre base de connaissances est configuré avec un secret AWS Secrets Manager, vous pouvez le chiffrer à l’aide d’une clé AWS KMS personnalisée en suivant les étapes décrites dans la section Chiffrement et déchiffrement des secrets dans AWS Secrets Manager.

Dans ce cas, associez la politique suivante à votre rôle de service Amazon Bedrock pour lui permettre de déchiffrer la clé. Remplacez les valeurs d’exemple par votre propre région AWS, ID de compte et ID de clé AWS KMS.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/key-id"
            ]
        }
    ]
}