ナレッジベースリソースの暗号化

Amazon Bedrock はナレッジベースに関連するリソースを暗号化します。デフォルトでは、Amazon Bedrock はこのデータを暗号化するのに AWS 所有のキーを使用します。オプションで、カスタマーマネージドキーを使用して、モデルアーティファクトを暗号化することもできます。

KMS キーによる暗号化は、以下のプロセスで行うことができます。

ナレッジベースが使用する以下のリソースは KMS キーで暗号化できます。暗号化する場合は、KMS キーを復号するためのアクセス許可を追加する必要があります。

AWS KMS keys についての詳細については、「AWS Key Management Service デベロッパーガイド」の「カスタマーマネージドキー」を参照してください。

データインジェスト時の一時データストレージの暗号化

ナレッジベースのデータインジェストジョブを設定すると、カスタム KMS キーでジョブを暗号化できます。

データソースの取り込み中に一時データストレージ用の AWS KMS キーを作成できるようにするには、以下のポリシーを Amazon Bedrock サービスロールに付与します。サンプル値を自分の AWS リージョン、アカウント ID、AWS KMS キー ID に置き換えます。

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/key-id"
            ]
        }
    ]
}

Amazon OpenSearch Service に渡される情報の暗号化

Amazon Bedrock にナレッジベース用のベクトルストアを Amazon OpenSearch Service 内に作成させることを選択した場合、Amazon Bedrock はユーザーが選択した KMS キーを Amazon OpenSearch Service に渡して暗号化することができます。Amazon OpenSearch Service での暗号化の詳細については、「Amazon OpenSearch Service での暗号化」を参照してください。

Amazon S3 Vectors に渡される情報の暗号化

Amazon Bedrock にナレッジベース用の S3 ベクトルバケットとベクトルストアを Amazon S3 Vectors 内に作成させることを選択した場合、Amazon Bedrock はユーザーが選択した KMS キーを Amazon S3 Vectors に渡して暗号化することができます。Amazon S3 Vectors での暗号化の詳細については、「Amazon S3 Vectors による暗号化」を参照してください。

ナレッジベース取得の暗号化

ナレッジベースに KMS キーでクエリを実行することにより、レスポンスを生成するセッションを暗号化することができます。そのためには、RetrieveAndGenerate リクエストを行うときに KMS キーの ARN を kmsKeyArn フィールドに入力します。次のポリシーをアタッチし、サンプル値を独自の AWS リージョン、アカウント ID、AWS KMS キー ID に置き換えて、Amazon Bedrock がセッションコンテキストを暗号化できるようにします。

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}

Amazon S3 のデータソースの AWS KMS キーを復号化するアクセス許可

ナレッジベースのデータソースを Amazon S3 バケットに保存します。これらのドキュメントを保存中に暗号化するには、Amazon S3 SSE-S3 サーバーサイド暗号化オプションを使用できます。このオプションでは、オブジェクトは Amazon S3 サービスによって管理されるサービスキーで暗号化されます。

詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3)」を参照してください。

Amazon S3 のデータソースをカスタム AWS KMS キーで暗号化した場合は、Amazon Bedrock サービスロールに次のポリシーを付与して、Amazon Bedrock がキーを復号化できるようにします。サンプル値を自分の AWS リージョン、アカウント ID、AWS KMS キー ID に置き換えます。

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "KMS:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/key-id"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": [
                        "s3.us-east-1.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

ナレッジベースが格納されているベクトルストアの AWS Secrets Manager シークレットを復号するアクセス許可。

ナレッジベースが格納されているベクトルストアに AWS Secrets Manager シークレットが設定されている場合は、の「AWS Secrets Manager のシークレットの暗号化と復号」の手順に従って、カスタム AWS KMS キーでシークレットを暗号化できます。

そうする場合、Amazon Bedrock サービスロールに次のポリシーをアタッチして、サービスロールがキーを復号化できるようにします。サンプル値を自分の AWS リージョン、アカウント ID、AWS KMS キー ID に置き換えます。

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/key-id"
            ]
        }
    ]
}