데이터 모으기 중 임시 데이터 스토리지의 암호화 Amazon OpenSearch Service로 전달된 정보 암호화 Amazon S3 Vectors에 전달된 정보의 암호화 지식 기반 검색 암호화 Amazon S3의 데이터 소스에 대한 AWS KMS키를 복호화할 수 있는 권한 지식 기반이 포함된 벡터 저장소의 AWS Secrets Manager보안 암호를 해독할 수 있는 권한 AWS KMS암호화를 사용한 Bedrock Data Automation(BDA)에 대한 권한

지식 기반 리소스 암호화

Amazon Bedrock은 지식 기반과 관련된 리소스를 암호화합니다. 기본적으로 Amazon Bedrock은 AWS소유 키를 사용하여이 데이터를 암호화합니다. 선택 사항으로, 고객 관리형 키를 사용하여 모델 아티팩트를 암호화할 수 있습니다.

KMS 키를 사용한 암호화는 다음 프로세스에서 발생할 수 있습니다.

데이터 소스를 수집하는 동안의 임시 데이터 스토리지
Amazon Bedrock에서 벡터 데이터베이스를 설정하도록 허용한 경우 OpenSearch Service에 정보 전달
지식 기반 쿼리

지식 기반에서 사용하는 다음 리소스를 KMS 키로 암호화할 수 있습니다. 암호화할 경우 KMS 키를 복호화할 수 있는 권한을 추가해야 합니다.

Amazon S3 버킷에 저장된 데이터 소스
타사 벡터 저장소

에 대한 자세한 내용은 AWS Key Management Service개발자 안내서의 고객 관리형 키를 AWS KMS keys참조하세요.

참고

Amazon Bedrock 지식 기반은 제공업체가 전송 중 TLS 암호화를 허용하고 지원하는 타사 데이터 소스 커넥터 및 벡터 저장소와의 통신을 위해 TLS 암호화를 사용합니다.

주제

데이터 모으기 중 임시 데이터 스토리지의 암호화
Amazon OpenSearch Service로 전달된 정보 암호화
Amazon S3 Vectors에 전달된 정보의 암호화
지식 기반 검색 암호화
Amazon S3의 데이터 소스에 대한 AWS KMS키를 복호화할 수 있는 권한
지식 기반이 포함된 벡터 저장소의 AWS Secrets Manager보안 암호를 해독할 수 있는 권한
AWS KMS암호화를 사용한 Bedrock Data Automation(BDA)에 대한 권한

데이터 모으기 중 임시 데이터 스토리지의 암호화

지식 기반에 대한 데이터 모으기 작업을 설정할 때 사용자 지정 KMS 키를 사용하여 작업을 암호화할 수 있습니다.

데이터 소스를 수집하는 과정에서 임시 데이터 스토리지용 AWS KMS키를 생성할 수 있도록 하려면 Amazon Bedrock 서비스 역할에 다음 정책을 연결합니다. 예제 값을 자체 AWS리전, 계정 ID 및 AWS KMS키 ID로 바꿉니다.

Amazon OpenSearch Service로 전달된 정보 암호화

Amazon Bedrock이 지식 기반용 Amazon OpenSearch Service에 벡터 저장소를 생성하도록 선택한 경우 Amazon Bedrock은 사용자가 선택한 KMS 키를 Amazon OpenSearch Service에 전달하여 암호화할 수 있습니다. Amazon OpenSearch Service의 암호화에 대해 자세히 알아보려면 Amazon OpenSearch Service 암호화를 참조하세요.

Amazon S3 Vectors에 전달된 정보의 암호화

Amazon Bedrock이 지식 기반용 Amazon S3 Vectors에 S3 벡터 버킷 및 벡터 인덱스를 생성하도록 선택한 경우 Amazon Bedrock은 사용자가 선택한 KMS 키를 Amazon S3 Vectors에 전달하여 암호화할 수 있습니다. Amazon S3 Vectors의 암호화에 대한 자세한 내용은 Amazon S3 Vectors를 사용한 암호화를 참조하세요.

지식 기반 검색 암호화

KMS 키로 지식 기반을 쿼리하여 응답을 생성하는 세션을 암호화할 수 있습니다. 이렇게 하려면 RetrieveAndGenerate 요청을 생성할 때 KMS 키의 ARN을 kmsKeyArn 필드에 포함시킵니다. Amazon Bedrock이 세션 컨텍스트를 암호화할 수 있도록 예제 값을 자체 AWS리전, 계정 ID 및 AWS KMS키 ID로 바꾸어 다음 정책을 연결합니다.

Amazon S3의 데이터 소스에 대한 AWS KMS키를 복호화할 수 있는 권한

Amazon S3 버킷에 지식 기반용 데이터 소스를 저장합니다. 이러한 저장된 문서를 암호화하려면 Amazon S3의 SSE-S3 서버 측 암호화 옵션을 사용하면 됩니다. 이 옵션을 사용하면 Amazon S3 서비스에서 관리하는 서비스 키로 객체가 암호화됩니다.

자세한 내용은 Amazon Simple Storage Service 사용 설명서의 Amazon S3 관리형 암호화 키(SSE-S3)로 서버 측 암호화를 사용하여 데이터 보호 섹션을 참조하세요.

사용자 지정 AWS KMS키로 Amazon S3의 데이터 소스를 암호화한 경우 Amazon Bedrock 서비스 역할에 다음 정책을 연결하여 Amazon Bedrock이 키를 해독하도록 허용합니다. 예제 값을 자체 AWS리전, 계정 ID 및 AWS KMS키 ID로 바꿉니다.

지식 기반이 포함된 벡터 저장소의 AWS Secrets Manager보안 암호를 해독할 수 있는 권한

지식 기반이 포함된 벡터 저장소가 AWS Secrets Manager보안 암호로 구성된 경우 보안 암호 암호화 및 복호화의 단계에 따라 사용자 지정 AWS KMS키로 보안 암호를 암호화할 수 있습니다. AWS Secrets Manager

이렇게 하려면 Amazon Bedrock 서비스 역할에 다음 정책을 연결하여 키를 복호화할 수 있도록 허용합니다. 예제 값을 자체 AWS리전, 계정 ID 및 AWS KMS키 ID로 바꿉니다.

AWS KMS암호화를 사용한 Bedrock Data Automation(BDA)에 대한 권한

BDA를 사용하여 고객 관리형 AWS KMS키로 멀티모달 콘텐츠를 처리하는 경우 표준 권한 외에 추가 AWS KMS권한이 필요합니다.

다음 정책을 Amazon Bedrock 서비스 역할에 연결하여 BDA가 암호화된 멀티미디어 파일로 작업할 수 있도록 합니다. 예제 값을 자체 AWS리전, 계정 ID 및 AWS KMS키 ID로 바꿉니다.


{
    "Sid": "KmsPermissionStatementForBDA",
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:CreateGrant"
    ],
    "Resource": "arn:aws:kms:region:account-id:key/key-id",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "account-id",
            "kms:ViaService": "bedrock.region.amazonaws.com"
        }
    }
}

BDA별 권한에는 kms:DescribeKey BDA가 암호화된 오디오, 비디오 및 이미지 파일을 처리하는 데 필요한 및 kms:CreateGrant 작업이 포함됩니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

흐름 리소스 암호화

Amazon VPC를 사용하여 데이터 보호