データインジェスト時の一時データストレージの暗号化 Amazon OpenSearch Service に渡される情報の暗号化 Amazon S3 Vectors に渡される情報の暗号化ナレッジベース取得の暗号化 Amazon S3 のデータソースのAWS KMSキーを復号するアクセス許可ナレッジベースを含むベクトルストアのシーAWS Secrets Managerクレットを復号するアクセス許可 AWS KMS暗号化を使用した Bedrock Data Automation (BDA) のアクセス許可

ナレッジベースリソースの暗号化

Amazon Bedrock はナレッジベースに関連するリソースを暗号化します。デフォルトでは、Amazon Bedrock は所有のキーを使用してこのデータを暗号化AWSします。オプションで、カスタマーマネージドキーを使用して、モデルアーティファクトを暗号化することもできます。

KMS キーによる暗号化は、以下のプロセスで行うことができます。

データソースの取り込み中の一時的なデータストレージ
Amazon Bedrock にベクトルデータベースをセットアップさせた場合の情報の OpenSearch サービスへの提供
ナレッジベースへのクエリの実行

ナレッジベースが使用する以下のリソースは KMS キーで暗号化できます。暗号化する場合は、KMS キーを復号するためのアクセス許可を追加する必要があります。

Amazon S3 バケットに保存されているデータソース
サードパーティーのベクトルストア

詳細についてはAWS KMS keys、「 AWS Key Management Serviceデベロッパーガイド」の「カスタマーマネージドキー」を参照してください。

注記

Amazon Bedrock ナレッジベースは、転送中の TLS 暗号化をプロバイダーが許可およびサポートするサードパーティーのデータソースコネクタおよびベクトルストアとの通信に TLS 暗号化を使用します。

トピック

データインジェスト時の一時データストレージの暗号化
Amazon OpenSearch Service に渡される情報の暗号化
Amazon S3 Vectors に渡される情報の暗号化
ナレッジベース取得の暗号化
Amazon S3 のデータソースのAWS KMSキーを復号するアクセス許可
ナレッジベースを含むベクトルストアのシーAWS Secrets Managerクレットを復号するアクセス許可
AWS KMS暗号化を使用した Bedrock Data Automation (BDA) のアクセス許可

データインジェスト時の一時データストレージの暗号化

ナレッジベースのデータインジェストジョブを設定すると、カスタム KMS キーでジョブを暗号化できます。

データソースの取り込みプロセスで一時データストレージのAWS KMSキーを作成できるようにするには、Amazon Bedrock サービスロールに次のポリシーをアタッチします。サンプル値を独自のAWSリージョン、アカウント ID、およびAWS KMSキー ID に置き換えます。

Amazon OpenSearch Service に渡される情報の暗号化

Amazon Bedrock にナレッジベース用のベクトルストアを Amazon OpenSearch Service 内に作成させることを選択した場合、Amazon Bedrock はユーザーが選択した KMS キーを Amazon OpenSearch Service に渡して暗号化することができます。Amazon OpenSearch Service での暗号化の詳細については、「Amazon OpenSearch Service での暗号化」を参照してください。

Amazon S3 Vectors に渡される情報の暗号化

Amazon Bedrock にナレッジベース用の S3 ベクトルバケットとベクトルストアを Amazon S3 Vectors 内に作成させることを選択した場合、Amazon Bedrock はユーザーが選択した KMS キーを Amazon S3 Vectors に渡して暗号化することができます。Amazon S3 Vectors での暗号化の詳細については、「Amazon S3 Vectors による暗号化」を参照してください。

ナレッジベース取得の暗号化

ナレッジベースに KMS キーでクエリを実行することにより、レスポンスを生成するセッションを暗号化することができます。そのためには、RetrieveAndGenerate リクエストを行うときに KMS キーの ARN を kmsKeyArn フィールドに入力します。次のポリシーをアタッチし、サンプル値を独自のAWSリージョン、アカウント ID、AWS KMSキー ID に置き換えて、Amazon Bedrock がセッションコンテキストを暗号化できるようにします。

Amazon S3 のデータソースのAWS KMSキーを復号するアクセス許可

ナレッジベースのデータソースを Amazon S3 バケットに保存します。これらのドキュメントを保存中に暗号化するには、Amazon S3 SSE-S3 サーバーサイド暗号化オプションを使用できます。このオプションでは、オブジェクトは Amazon S3 サービスによって管理されるサービスキーで暗号化されます。

詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3)」を参照してください。

Amazon S3 のデータソースをカスタムAWS KMSキーで暗号化した場合は、Amazon Bedrock サービスロールに次のポリシーをアタッチして、Amazon Bedrock がキーを復号できるようにします。サンプル値を独自のAWSリージョン、アカウント ID、およびAWS KMSキー ID に置き換えます。

ナレッジベースを含むベクトルストアのシーAWS Secrets Managerクレットを復号するアクセス許可

ナレッジベースを含むベクトルストアが AWS Secrets Managerシークレットで設定されている場合は、「シークレットの暗号化と復号」の手順に従って、カスタムAWS KMSキーでシークレットを暗号化できます。 AWS Secrets Manager

そうする場合、Amazon Bedrock サービスロールに次のポリシーをアタッチして、サービスロールがキーを復号化できるようにします。サンプル値を独自のAWSリージョン、アカウント ID、およびAWS KMSキー ID に置き換えます。

AWS KMS暗号化を使用した Bedrock Data Automation (BDA) のアクセス許可

BDA を使用してカスタマーマネージドAWS KMSキーでマルチモーダルコンテンツを処理する場合、標準のアクセス許可を超えて追加のAWS KMSアクセス許可が必要です。

Amazon Bedrock サービスロールに次のポリシーをアタッチして、暗号化されたマルチメディアファイルを BDA が操作できるようにします。サンプル値を独自のAWSリージョン、アカウント ID、およびAWS KMSキー ID に置き換えます。


{
    "Sid": "KmsPermissionStatementForBDA",
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:CreateGrant"
    ],
    "Resource": "arn:aws:kms:region:account-id:key/key-id",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "account-id",
            "kms:ViaService": "bedrock.region.amazonaws.com"
        }
    }
}

BDA 固有のアクセス許可には、暗号化されたオーディオ、ビデオ、イメージファイルを BDA が処理するために必要な kms:DescribeKeyアクションと kms:CreateGrantアクションが含まれます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

フローリソースの暗号化

Amazon VPC を使用してデータを保護する