

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Crittografia delle risorse della knowledge base
<a name="encryption-kb"></a>

Amazon Bedrock crittografa le risorse relative alle tue knowledge base. Per impostazione predefinita, Amazon Bedrock crittografa questi dati utilizzando una chiave AWS di proprietà. Facoltativamente, puoi crittografare gli artefatti dei modelli utilizzando una chiave gestita dal cliente.

La crittografia con una chiave KMS può avvenire con i seguenti processi:
+ Archiviazione di dati temporanea durante l'acquisizione delle origini dati
+ Trasmissione di informazioni al OpenSearch Servizio se consenti ad Amazon Bedrock di configurare il tuo database vettoriale
+ Interrogazione di una knowledge base

Le seguenti risorse utilizzate dalle tue knowledge base possono essere crittografate con una chiave KMS. Se le crittografi, devi aggiungere le autorizzazioni per decrittografare la chiave KMS.
+ Origini dati archiviate in un bucket Amazon S3
+ Archivi vettoriali di terze parti

Per ulteriori informazioni in merito AWS KMS keys, consulta [Customer managed keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *AWS Key Management Service Developer* Guide.

**Nota**  
Knowledge Base di Amazon Bedrock utilizza la crittografia TLS per la comunicazione con i connettori di origine dati di terze parti e archivi vettoriali in cui il provider consente e supporta la crittografia TLS in transito.

**Topics**
+ [Crittografia dell'archiviazione di dati transitoria durante l'importazione dei dati](#encryption-kb-ingestion)
+ [Crittografia delle informazioni trasmesse ad Amazon OpenSearch Service](#encryption-kb-oss)
+ [Crittografia delle informazioni passate ad Amazon S3 Vectors](#encryption-kb-s3-vector)
+ [Crittografia del recupero della knowledge base](#encryption-kb-runtime)
+ [Autorizzazioni per decrittografare la AWS KMS chiave per le fonti di dati in Amazon S3](#encryption-kb-ds)
+ [Autorizzazioni per decrittografare un Gestione dei segreti AWS segreto per il vector store contenente la tua knowledge base](#encryption-kb-3p)
+ [Autorizzazioni per Bedrock Data Automation (BDA) con crittografia AWS KMS](#encryption-kb-bda)

## Crittografia dell'archiviazione di dati transitoria durante l'importazione dei dati
<a name="encryption-kb-ingestion"></a>

Quando configuri un processo di importazione dei dati per la tua knowledge base, puoi crittografare il processo con una chiave KMS personalizzata.

Per consentire la creazione di una AWS KMS chiave per l'archiviazione temporanea dei dati durante il processo di acquisizione della fonte di dati, allega la seguente policy al tuo ruolo di servizio Amazon Bedrock. Sostituisci i valori di esempio con la tua AWS regione, l'ID dell'account e l'ID della chiave. AWS KMS 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/key-id"
            ]
        }
    ]
}
```

------

## Crittografia delle informazioni trasmesse ad Amazon OpenSearch Service
<a name="encryption-kb-oss"></a>

Se decidi di consentire ad Amazon Bedrock di creare un archivio vettoriale in Amazon OpenSearch Service per la tua knowledge base, Amazon Bedrock può passare una chiave KMS da te scelta ad Amazon OpenSearch Service per la crittografia. Per ulteriori informazioni sulla crittografia in Amazon OpenSearch Service, consulta [Encryption in Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html).

## Crittografia delle informazioni passate ad Amazon S3 Vectors
<a name="encryption-kb-s3-vector"></a>

Se decidi di consentire ad Amazon Bedrock di creare un bucket vettoriale S3 e un indice vettoriale in Amazon S3 Vectors per la tua knowledge base, Amazon Bedrock può passare una chiave KMS di tua scelta ad Amazon S3 Vectors per la crittografia. Per ulteriori informazioni sulla crittografia in Amazon S3 Vectors, consulta [Crittografia con Amazon S3 Vectors](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-vectors-bucket-encryption.html).

## Crittografia del recupero della knowledge base
<a name="encryption-kb-runtime"></a>

Puoi crittografare le sessioni in cui si generano risposte interrogando una knowledge base con una chiave KMS. A tale scopo, includi l'ARN di una chiave KMS nel `kmsKeyArn` campo quando effettui una richiesta. [RetrieveAndGenerate](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) Allega la seguente politica, sostituendo i valori di esempio con la tua AWS regione, ID account e ID AWS KMS chiave per consentire ad Amazon Bedrock di crittografare il contesto della sessione.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}
```

------

## Autorizzazioni per decrittografare la AWS KMS chiave per le fonti di dati in Amazon S3
<a name="encryption-kb-ds"></a>

Le origini dati per la knowledge base devono essere archiviate nel bucket Amazon S3. Per crittografare questi documenti a riposo, puoi utilizzare l'opzione di crittografia lato server SSE-S3 di Amazon S3. Con questa opzione, gli oggetti vengono crittografati con chiavi di servizio gestite dal servizio Amazon S3. 

Per ulteriori informazioni, consulta [Protezione dei dati mediante la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) nella *Guida per l'utente di Amazon Simple Storage Service*.

Se hai crittografato le tue fonti di dati in Amazon S3 con una AWS KMS chiave personalizzata, allega la seguente policy al tuo ruolo di servizio Amazon Bedrock per consentire ad Amazon Bedrock di decrittografare la tua chiave. Sostituisci i valori di esempio con la tua AWS regione, l'ID dell'account e l'ID della chiave. AWS KMS 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "KMS:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/key-id"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": [
                        "s3.us-east-1.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

## Autorizzazioni per decrittografare un Gestione dei segreti AWS segreto per il vector store contenente la tua knowledge base
<a name="encryption-kb-3p"></a>

[Se l'archivio vettoriale contenente la Knowledge Base è configurato con un Gestione dei segreti AWS segreto, è possibile crittografare il segreto con una AWS KMS chiave personalizzata seguendo la procedura descritta in Crittografia e decrittografia segrete in. Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)

In questo caso, allega la seguente policy al ruolo di servizio Amazon Bedrock affinché possa decrittare la chiave. Sostituisci i valori di esempio con la tua AWS regione, l'ID dell'account e l'ID della chiave. AWS KMS 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/key-id"
            ]
        }
    ]
}
```

------

## Autorizzazioni per Bedrock Data Automation (BDA) con crittografia AWS KMS
<a name="encryption-kb-bda"></a>

Quando si utilizza BDA per elaborare contenuti multimodali con AWS KMS chiavi gestite dal cliente, sono necessarie autorizzazioni aggiuntive oltre alle autorizzazioni standard. AWS KMS 

Allega la seguente policy al tuo ruolo di servizio Amazon Bedrock per consentire a BDA di lavorare con file multimediali crittografati. Sostituisci i valori di esempio con la tua AWS regione, l'ID dell'account e l'ID della AWS KMS chiave.

```
{
    "Sid": "KmsPermissionStatementForBDA",
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:CreateGrant"
    ],
    "Resource": "arn:aws:kms:region:account-id:key/key-id",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "account-id",
            "kms:ViaService": "bedrock.region.amazonaws.com"
        }
    }
}
```

Le autorizzazioni specifiche del BDA includono `kms:DescribeKey` le `kms:CreateGrant` azioni necessarie a BDA per elaborare file audio, video e immagini crittografati.