Crittografia delle risorse della knowledge base - Amazon Bedrock
Crittografia dell'archiviazione di dati transitoria durante l'importazione dei datiCrittografia delle informazioni passate al servizio OpenSearch di AmazonCrittografia delle informazioni passate ad Amazon S3 VectorsCrittografia del recupero della knowledge baseAutorizzazioni per decrittografare la chiave AWS KMS per le origini dati in Amazon S3Autorizzazioni per decrittografare un segreto Gestione dei segreti AWS per l'archivio vettoriale contenente la tua knowledge base

Crittografia delle risorse della knowledge base

Amazon Bedrock crittografa le risorse relative alle tue knowledge base. Per impostazione predefinita, Amazon Bedrock crittografa questi dati utilizzando una chiave di proprietà di AWS. Facoltativamente, puoi crittografare gli artefatti dei modelli utilizzando una chiave gestita dal cliente.

La crittografia con una chiave KMS può avvenire con i seguenti processi:

  • Archiviazione di dati temporanea durante l'acquisizione delle origini dati

  • Trasmissione di informazioni al servizio OpenSearch se consenti ad Amazon Bedrock di configurare il tuo database vettoriale

  • Interrogazione di una knowledge base

Le seguenti risorse utilizzate dalle tue knowledge base possono essere crittografate con una chiave KMS. Se le crittografi, devi aggiungere le autorizzazioni per decrittografare la chiave KMS.

  • Origini dati archiviate in un bucket Amazon S3

  • Archivi vettoriali di terze parti

Per ulteriori informazioni su AWS KMS keys, consulta Chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service.

Nota

Knowledge Base di Amazon Bedrock utilizza la crittografia TLS per la comunicazione con i connettori di origine dati di terze parti e archivi vettoriali in cui il provider consente e supporta la crittografia TLS in transito.

Crittografia dell'archiviazione di dati transitoria durante l'importazione dei dati

Quando configuri un processo di importazione dei dati per la tua knowledge base, puoi crittografare il processo con una chiave KMS personalizzata.

Per consentire la creazione di una chiave AWS KMS per l'archiviazione dei dati temporanei durante il processo di importazione dell'origine dati, associa la seguente policy al ruolo di servizio Amazon Bedrock. Sostituisci i valori di esempio con la tua Regione AWS, l’ID dell’account e l’ID della chiave AWS KMS.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/key-id"
            ]
        }
    ]
}

Crittografia delle informazioni passate al servizio OpenSearch di Amazon

Se decidi di consentire ad Amazon Bedrock di creare un archivio vettoriale nel servizio OpenSearch di Amazon per la tua knowledge base, Amazon Bedrock può passare una chiave KMS di tua scelta al servizio OpenSearch di Amazon per la crittografia. Per ulteriori informazioni sulla crittografia nel servizio OpenSearch di Amazon, consulta Encryption in Amazon OpenSearch Service

Crittografia delle informazioni passate ad Amazon S3 Vectors

Se decidi di consentire ad Amazon Bedrock di creare un bucket vettoriale S3 e un indice vettoriale in Amazon S3 Vectors per la tua knowledge base, Amazon Bedrock può passare una chiave KMS di tua scelta ad Amazon S3 Vectors per la crittografia. Per ulteriori informazioni sulla crittografia in Amazon S3 Vectors, consulta Crittografia con Amazon S3 Vectors.

Importante

L’integrazione di Amazon S3 Vectors con Knowledge Base per Amazon Bedrock è in versione di anteprima ed è soggetta a modifiche.

Crittografia del recupero della knowledge base

Puoi crittografare le sessioni in cui si generano risposte interrogando una knowledge base con una chiave KMS. A tale scopo, includi l'ARN di una chiave KMS nel campo kmsKeyArn quando effettui una richiesta RetrieveAndGenerate. Collega la policy indicata di seguito, sostituendo i valori di esempio con la tua Regione AWS, l’ID dell’account e l’ID della chiave AWS KMS per consentire ad Amazon Bedrock di crittografare il contesto della sessione.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}

Autorizzazioni per decrittografare la chiave AWS KMS per le origini dati in Amazon S3

Le origini dati per la knowledge base devono essere archiviate nel bucket Amazon S3. Per crittografare questi documenti a riposo, puoi utilizzare l'opzione di crittografia lato server SSE-S3 di Amazon S3. Con questa opzione, gli oggetti vengono crittografati con chiavi di servizio gestite dal servizio Amazon S3.

Per ulteriori informazioni, consulta Protezione dei dati mediante la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3) nella Guida per l'utente di Amazon Simple Storage Service.

Se hai crittografato le origini dati in Amazon S3 con una chiave AWS KMS personalizzata, allega la seguente policy al tuo ruolo di servizio Amazon Bedrock per consentire ad Amazon Bedrock di decrittografare la chiave. Sostituisci i valori di esempio con la tua Regione AWS, l’ID dell’account e l’ID della chiave AWS KMS.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "KMS:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/key-id"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": [
                        "s3.us-east-1.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Autorizzazioni per decrittografare un segreto Gestione dei segreti AWS per l'archivio vettoriale contenente la tua knowledge base

Se l'archivio vettoriale contenente la knowledge base è configurato con un segreto Gestione dei segreti AWS, puoi crittografare il segreto con una chiave AWS KMS personalizzata seguendo la procedura descritta in Crittografia e decrittografia del segreto in Gestione dei segreti AWS

In questo caso, allega la seguente policy al ruolo di servizio Amazon Bedrock affinché possa decrittare la chiave. Sostituisci i valori di esempio con la tua Regione AWS, l’ID dell’account e l’ID della chiave AWS KMS.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/key-id"
            ]
        }
    ]
}