Criptografia de recursos da base de conhecimento - Amazon Bedrock
Criptografia de armazenamento de dados temporário durante a ingestão de dadosCriptografia das informações passadas para o Amazon OpenSearch ServiceCriptografia das informações enviadas ao Amazon S3 VectorsCriptografia da recuperação da base de conhecimentoPermissões para descriptografar sua AWS KMS chave para suas fontes de dados no Amazon S3Permissões para descriptografar um AWS Secrets Manager segredo para o armazenamento de vetores que contém sua base de conhecimentoPermissões para Bedrock Data Automation (BDA) com criptografia AWS KMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de recursos da base de conhecimento

O Amazon Bedrock criptografa os recursos relacionados às bases de conhecimento. Por padrão, o Amazon Bedrock criptografa esses dados usando uma chave própriaAWS. Opcionalmente, é possível criptografar os artefatos de modelo usando uma chave gerenciada pelo cliente.

A criptografia com uma chave do KMS pode ocorrer com os seguintes processos:

  • Armazenamento de dados temporário ao ingerir fontes de dados

  • Passando informações para o OpenSearch Serviço se você permitir que o Amazon Bedrock configure seu banco de dados vetoriais

  • Consulta de uma base de conhecimento

Os recursos a seguir usados pelas bases de conhecimento podem ser criptografados com uma chave do KMS. Se você criptografá-los, precisará adicionar permissões para descriptografar a chave do KMS.

  • Fontes de dados armazenadas em um bucket do Amazon S3

  • Armazenamentos de vetores de terceiros

Para obter mais informações sobreAWS KMS keys, consulte Chaves gerenciadas pelo cliente no Guia do AWS Key Management Service desenvolvedor.

nota

As Bases de Conhecimento do Amazon Bedrock usam criptografia TLS para comunicação com conectores de fonte de dados e armazenamento de vetores de terceiros em que o fornecedor permite e oferece suporte à criptografia TLS em trânsito.

Criptografia de armazenamento de dados temporário durante a ingestão de dados

Ao configurar um trabalho de ingestão de dados para a base de conhecimento, é possível criptografar o trabalho com uma chave personalizada do KMS.

Para permitir a criação de uma AWS KMS chave para armazenamento transitório de dados no processo de ingestão de sua fonte de dados, anexe a seguinte política à sua função de serviço do Amazon Bedrock. Substitua os valores de exemplo por sua própria AWS região, ID da conta e ID da AWS KMS chave.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/key-id"
            ]
        }
    ]
}

Criptografia das informações passadas para o Amazon OpenSearch Service

Se você optar por permitir que o Amazon Bedrock crie um armazenamento vetorial no Amazon OpenSearch Service para sua base de conhecimento, o Amazon Bedrock poderá passar uma chave KMS que você escolher para o Amazon OpenSearch Service para criptografia. Para saber mais sobre criptografia no Amazon OpenSearch Service, consulte Criptografia no Amazon OpenSearch Service.

Criptografia das informações enviadas ao Amazon S3 Vectors

Se você optar por permitir que o Amazon Bedrock crie um bucket de vetores do S3 e um índice de vetores no Amazon S3 Vectors para sua base de conhecimento, o Amazon Bedrock poderá enviar uma chave do KMS de sua escolha ao Amazon S3 Vectors para criptografia. Para saber mais sobre criptografia no Amazon S3 Vectors, consulte Criptografia com o Amazon S3 Vectors.

Criptografia da recuperação da base de conhecimento

É possível criptografar sessões nas quais você gera respostas ao consultar uma base de conhecimento com uma chave do KMS. Para fazer isso, inclua o ARN de uma chave KMS no kmsKeyArn campo ao fazer uma solicitação. RetrieveAndGenerate Anexe a política a seguir, substituindo os valores de exemplo por sua própria AWS região, ID da conta e ID da AWS KMS chave para permitir que o Amazon Bedrock criptografe o contexto da sessão.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}

Permissões para descriptografar sua AWS KMS chave para suas fontes de dados no Amazon S3

Armazene as fontes de dados da sua base de conhecimento no bucket do Amazon S3. Para criptografar esses documentos em repouso, é possível usar a criptografia do lado do servidor do Amazon S3 SSE-S3. Com essa opção, os objetos são criptografados com chaves de serviço gerenciadas pelo serviço Amazon S3.

Para obter mais informações, consulte Proteção de dados usando criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3) no Manual do usuário do Amazon Simple Storage Service.

Se você criptografou suas fontes de dados no Amazon S3 com uma AWS KMS chave personalizada, anexe a seguinte política à sua função de serviço do Amazon Bedrock para permitir que o Amazon Bedrock decifre sua chave. Substitua os valores de exemplo por sua própria AWS região, ID da conta e ID da AWS KMS chave.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "KMS:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/key-id"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": [
                        "s3.us-east-1.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Permissões para descriptografar um AWS Secrets Manager segredo para o armazenamento de vetores que contém sua base de conhecimento

Se o repositório vetorial que contém sua base de conhecimento estiver configurado com um AWS Secrets Manager segredo, você poderá criptografar o segredo com uma AWS KMS chave personalizada seguindo as etapas em Criptografia e descriptografia secretas em. AWS Secrets Manager

Se você fizer isso, anexe a política a seguir ao seu perfil de serviço do Amazon Bedrock para permitir que ele descriptografe a chave. Substitua os valores de exemplo por sua própria AWS região, ID da conta e ID da AWS KMS chave.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:123456789012:key/key-id"
            ]
        }
    ]
}

Permissões para Bedrock Data Automation (BDA) com criptografia AWS KMS

Ao usar o BDA para processar conteúdo multimodal com AWS KMS chaves gerenciadas pelo cliente, são necessárias permissões adicionais além das permissões padrão. AWS KMS

Anexe a seguinte política à sua função de serviço Amazon Bedrock para permitir que o BDA trabalhe com arquivos multimídia criptografados. Substitua os valores de exemplo por sua própria AWS região, ID da conta e ID da AWS KMS chave.

{
    "Sid": "KmsPermissionStatementForBDA",
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:CreateGrant"
    ],
    "Resource": "arn:aws:kms:region:account-id:key/key-id",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "account-id",
            "kms:ViaService": "bedrock.region.amazonaws.com"
        }
    }
}

As permissões específicas do BDA incluem kms:DescribeKey kms:CreateGrant ações, que são necessárias para que o BDA processe arquivos criptografados de áudio, vídeo e imagem.