Configurar criptografia no S3 Vectors - Amazon Simple Storage Service

Configurar criptografia no S3 Vectors

Este tópico explica como definir a configuração de criptografia para buckets e índices de vetores do S3.

Antes de começar, você deve ter o seguinte:

  • Permissões apropriadas para visualizar as propriedades do bucket e do índice.

Como configurar a criptografia para um bucket de vetores

  1. Abra o console do Amazon S3, em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, escolha Buckets de vetores.

  3. Escolha Criar bucket de vetores.

  4. Para Nome do bucket, insira um nome para o bucket.

    O nome do bucket deve:

    • Ser exclusivo na sua conta dessa região da AWS.

    • Ter entre 3 e 63 caracteres.

    • Consistir apenas em letras minúsculas, números e hifens (-).

  5. Em Criptografia, escolha

    • Especificar o tipo de criptografia: escolha um método de criptografia específico:

      • Criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3): com o SSE-S3, o Amazon S3 gerencia automaticamente a geração, a alternância e o gerenciamento de chaves de criptografia.

      • Criptografia do lado do servidor com chaves do AWS Key Management Service (SSE-KMS): é semelhante ao SSE-S3, mas usa chaves gerenciadas pelo cliente (CMKs) no AWS KMS, dando a você maior controle sobre suas chaves. Para ter mais informações sobre chaves gerenciadas pelo cliente, consulte Customer managed keys no Guia do desenvolvedor do AWS Key Management Service.

        Se você selecionar essa opção, em Chave do AWS KMS, escolha uma das seguintes opções:

        • Escolha entre suas chaves do AWS KMS: selecione uma chave do KMS existente na lista suspensa.

        • Inserir ARN da chave do AWS KMS: insira o nome do recurso da Amazon (ARN) de uma chave do KMS.

        • Criar uma chave do KMS: crie uma chave gerenciada pelo cliente no console do AWS KMS. Para ter mais informações, consulte Creating symmetric customer managed keys no Guia do desenvolvedor do AWS Key Management Service.

    nota

    Os seguintes requisitos aplicam-se à chave do KMS:

    • O ID da chave do AWS KMS não deve estar vazio.

    • A chave do KMS deve estar na mesma região em que esse bucket está sendo criado.

    • O ARN da chave do AWS KMS deve começar com “arn:aws:kms:”.

    Importante

    As configurações de criptografia não podem ser alteradas após a criação do bucket de vetores.

  6. Se você escolher Inserir o ARN da chave do AWS KMS, insira o ARN no campo de texto fornecido.

  7. Se você escolher Criar uma chave do KMS, o console abrirá o console do AWS KMS em uma nova guia. Para ter instruções sobre como criar uma chave do KMS, consulte Creating symmetric customer managed keys no Guia do desenvolvedor do AWS Key Management Service.

  8. Escolha Criar bucket de vetores.

    Importante

    Ao usar a criptografia do KMS, as entidades principais do IAM que precisam acessar objetos no bucket devem ter a permissão do KMS necessária (kms:Decrypt) para a chave do KMS selecionada.

Como configurar a criptografia para um índice de vetores

  1. Abra o console do Amazon S3, em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, escolha Buckets de vetores.

  3. Na lista de buckets de vetores, escolha o nome do bucket em que você deseja criar um índice de vetores.

  4. Escolha Criar índice de vetores.

  5. Em Nome do índice de vetores, insira um nome para o índice de vetores.

    O nome dos índices de vetores deve ser exclusivo dentro do bucket de vetores. O nome do índice deve ter entre 3 e 63 caracteres. Os caracteres válidos são letras minúsculas (a-z), números (0-9), hifens (-) e pontos (.). Para ter mais informações sobre os requisitos de nomenclatura de índices de vetores, consulte Regras de nomenclatura de buckets de vetores.

  6. Em Dimensão, insira o número de valores em cada vetor.

    nota

    • O valor para Dimensão determina quantos valores numéricos cada vetor conterá.

    • Todos os vetores adicionados a esse índice devem ter exatamente esse número de valores.

    • A dimensão deve ser entre 1 e 4096.

    • Uma dimensão maior requer maior espaço de armazenamento.

    • Escolha com base nas dimensões de saída do seu modelo de incorporação.

    Para ter mais informações sobre os requisitos de dimensão, consulte Limitações e restrições.

  7. Em Métrica de distância, escolha uma das seguintes opções:

    • Cosseno: mede o cosseno do ângulo entre os vetores. Ideal para vetores normalizados e quando a direção é mais importante do que a magnitude.

    • Euclidiano: mede a distância em linha reta entre os vetores. Ideal quando a direção e a magnitude são importantes.

  8. (Opcional) Em Metadados não filtráveis, configure as chaves de metadados que serão armazenadas, mas não usadas para filtragem:

    Para adicionar chaves de metadados não filtráveis:

    1. Escolha Adicionar chave.

    2. Insira um nome de chave (de 1 a 63 caracteres e exclusivo nesse índice de vetores).

    3. Repita o procedimento para adicionar mais chaves (no máximo dez chaves).

    nota

    Depois de criar um índice de vetores, você pode anexar metadados filtráveis como pares de chave-valor a cada vetor ao inserir dados vetoriais. Por padrão, todas as chaves de metadados anexadas aos vetores são filtráveis e podem ser usadas como filtros em uma consulta de similaridade. Somente as chaves de metadados especificadas como não filtráveis durante a criação do índice de vetores são excluídas da filtragem. Para ter mais informações sobre limites de tamanho de metadados por vetor, bem como restrições de metadados totais e filtráveis, consulte .

  9. Em Criptografia, escolha Especificar o tipo de criptografia e selecione uma das seguintes opções:

    • Usar configurações do bucket para criptografia: o Amazon S3 aplica as configurações de criptografia do bucket de vetores para criptografar dados vetoriais no índice de vetores.

    • Substituir configurações do bucket para criptografia: estipule um tipo de criptografia específico para o índice de vetores:

      • Criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3): com o SSE-S3, o Amazon S3 gerencia automaticamente a geração, a alternância e o gerenciamento de chaves de criptografia.

      • Criptografia do lado do servidor com chaves do AWS Key Management Service (SSE-KMS): é semelhante ao SSE-S3, mas usa chaves gerenciadas pelo cliente (CMKs) no AWS KMS, dando a você maior controle sobre suas chaves. Para ter mais informações sobre chaves gerenciadas pelo cliente, consulte Customer managed keys no Guia do desenvolvedor do AWS Key Management Service.

        Se você selecionar essa opção, em Chave do AWS KMS, escolha uma das seguintes opções:

        • Escolha entre suas chaves do AWS KMS: selecione uma chave do KMS existente na lista suspensa.

        • Inserir ARN da chave do AWS KMS: insira o nome do recurso da Amazon (ARN) de uma chave do KMS.

        • Criar uma chave do KMS: crie uma chave gerenciada pelo cliente no console do AWS KMS. Para ter mais informações, consulte Creating symmetric customer managed keys no Guia do desenvolvedor do AWS Key Management Service.

        nota

        Os seguintes requisitos aplicam-se à chave do KMS:

        • O ID da chave do AWS KMS não deve estar vazio.

        • A chave do KMS deve estar na mesma região em que esse bucket está sendo criado.

        • O ARN da chave do AWS KMS deve começar com “arn:aws:kms:”.

        Importante

        • As configurações de criptografia não podem ser alteradas após a criação do índice de vetores.

        • Se você escolher Inserir o ARN da chave do AWS KMS, insira o ARN no campo de texto fornecido.

        • Se você escolher Criar uma chave do KMS, o console abrirá o console do AWS KMS em uma nova guia. Para ter instruções sobre como criar uma chave do KMS, consulte Creating symmetric customer managed keys no Guia do desenvolvedor do AWS Key Management Service.

        Importante

        Ao usar a criptografia do KMS, as entidades principais do IAM que precisam acessar objetos no bucket devem ter a permissão do KMS necessária (kms:Decrypt) para a chave do KMS selecionada.

  10. Em Tags (opcional), é possível adicionar tags como pares de chave-valor para ajudar a monitorar e organizar os custos do índice de vetores usando o Gerenciamento de Faturamento e Custos da AWS. Insira uma Key (Chave) e um Value (Valor). Para adicionar outra tag, escolha Add Tag (Adicionar tag). É possível inserir até cinquenta tags a um índice de vetores. Para obter mais informações, consulte Usar tags com buckets de vetores do S3.

  11. Analise sua configuração cuidadosamente.

    nota

    Essas configurações não podem ser alteradas após a criação.

  12. Escolha Criar índice de vetores.

O exemplo a seguir mostra como criar um bucket de vetores com a configuração de criptografia SSE-S3 usando a AWS CLI. Para usar esse exemplo, substitua os espaços reservados para entrada do usuário por suas próprias informações. 

aws s3vectors create-vector-bucket \
        --vector-bucket-name "amzn-s3-demo-vector-bucket" \
        --encryption-configuration '{"sseType": "AES256"}'

O exemplo a seguir mostra como criar um bucket de vetores que usa a configuração de criptografia SSE-KMS com uma chave gerenciada pelo cliente. Para usar esse exemplo, substitua os espaços reservados para entrada do usuário por suas próprias informações. 

aws s3vectors create-vector-bucket \
        --vector-bucket-name "amzn-s3-demo-vector-bucket" \
        --encryption-configuration '{"sseType": "aws:kms", "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}'

O exemplo a seguir mostra como criar um índice de vetores com a configuração de criptografia SSE-S3 usando a AWS CLI. Para usar esse exemplo, substitua os espaços reservados para entrada do usuário por suas próprias informações.

aws s3vectors create-index \
        --vector-bucket-name "amzn-s3-demo-vector-bucket" \
        --index-name "amzn-s3-demo-vector-index" \
        --encryption-configuration '{"sseType": "AES256"}'

O exemplo a seguir mostra como criar um índice de vetores que usa a configuração de criptografia SSE-KMS com uma chave gerenciada pelo cliente. Para usar esse exemplo, substitua os espaços reservados para entrada do usuário por suas próprias informações.

aws s3vectors create-index \
        --vector-bucket-name "amzn-s3-demo-vector-bucket" \
        --index-name "amzn-s3-demo-vector-index" \
        --encryption-configuration '{"sseType": "aws:kms", "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890abc"}'

Os exemplos a seguir mostram como criar um índice de vetores usando as configurações de criptografia do bucket de vetores. Para usar esse exemplo, substitua os espaços reservados para entrada do usuário por suas próprias informações.

aws s3vectors create-index \
        --vector-bucket-name "amzn-s3-demo-vector-bucket" \
        --index-name "amzn-s3-demo-vector-index" \