在 S3 Vectors 中設定加密 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 S3 Vectors 中設定加密

本主題說明如何設定 S3 向量儲存貯體和索引的加密組態。

開始前,請確定您具有下列項目:

  • 檢視儲存貯體和索引屬性的適當許可。

設定向量儲存貯體的加密

  1. 開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。

  2. 在導覽窗格中,選擇向量儲存貯體

  3. 選擇建立向量儲存貯體

  4. 針對 Bucket name (儲存貯體名稱),輸入儲存貯體的名稱。

    儲存貯體名稱必須;

    • 在此 AWS 區域的帳戶中是唯一的

    • 長度必須介於 3 與 63 個字元之間

    • 只能由小寫字母、數字和連字號 (-) 組成

  5. 針對加密,選擇

    • 指定加密類型 – 選擇特定的加密方法:

      • 使用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密 – 透過 SSE-S3,Amazon S3 會自動處理加密金鑰的產生、輪換和管理。

      • 使用 AWS Key Management Service 金鑰 (SSE-KMS) 的伺服器端加密 – 類似於 SSE-S3,但在 AWS KMS 中使用客戶受管金鑰 (CMKs),可讓您進一步控制金鑰。如需有關客戶自管金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的客戶自管金鑰

        如果您選取此選項,請在 AWS KMS 金鑰下選擇下列其中一個選項:

        • 從 AWS KMS 金鑰中選擇 – 從下拉式清單中選擇現有的 KMS 金鑰

        • 輸入 AWS KMS 金鑰 ARN – 輸入 KMS 金鑰的 Amazon Resource Name (ARN)

        • 建立 KMS 金鑰 – 在 AWS KMS 主控台中建立新的客戶受管金鑰。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的建立對稱客戶自管金鑰

    注意

    下列要求適用於 KMS 金鑰:

    • AWS KMS 金鑰 ID 不得空白

    • 您的 KMS 金鑰必須位於建立此儲存貯體的相同區域

    • AWS KMS 金鑰 ARN 必須以 "arn:aws:kms:" 開頭

    重要

    加密設定無法在建立向量儲存貯體後進行變更。

  6. 如果您選擇輸入 AWS KMS 金鑰 ARN,請在提供的文字欄位中輸入 ARN。

  7. 如果您選擇建立 KMS 金鑰,主控台會在新索引標籤中開啟 AWS KMS 主控台。如需有關建立 KMS 金鑰的指示,請參閱《AWS Key Management Service 開發人員指南》中的建立對稱客戶自管金鑰

  8. 選擇建立向量儲存貯體

    重要

    使用 KMS 加密時,請確定需要存取儲存貯體中的物件的 IAM 主體,具有所選 KMS 金鑰的必要 KMS 許可 (kms:Decrypt)。

設定向量索引的加密

  1. 開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。

  2. 在導覽窗格中,選擇向量儲存貯體

  3. 在向量儲存貯體清單中,選擇您要建立向量索引的儲存貯體名稱。

  4. 選擇建立向量索引

  5. 針對向量索引名稱,輸入向量索引的名稱。

    向量索引名稱在向量儲存貯體中必須是唯一的。索引名稱長度必須介於 3 到 63 個字元之間。有效字元為小寫字母 (a-z)、數字 (0-9)、連字號 (-) 和點 (.)。如需向量索引命名要求的詳細資訊,請參閱 向量儲存貯體命名規則

  6. 針對維度,輸入每個向量中的值數目。

    注意

    • 維度的值決定了每個向量將包含的數值。

    • 新增至此索引的所有向量,必須具有此數目的值。

    • 維度必須介於 1 到 4096 之間。

    • 較大的維度需要更多的儲存空間。

    • 根據您的嵌入模型輸出維度做選擇。

    如需有關維度要求的詳細資訊,請參閱 限制

  7. 針對距離指標,選擇以下其中一個選項:

    • 餘弦 - 測量向量之間角度的餘弦。標準化向量以及當方向比大小重要時的最佳選擇

    • 歐氏幾何 - 測量向量之間的直線距離。當方向和大小都很重要時的最佳選擇。

  8. (選用) 在不可篩選的中繼資料下,設定要儲存但不用於篩選的中繼資料索引鍵:

    新增不可篩選的中繼資料索引鍵:

    1. 選擇 Add key (新增金鑰)

    2. 輸入索引鍵名稱 (1-63 個字元,是此向量索引中的唯一)。

    3. 重複以新增其他索引鍵 (最多 10 個索引鍵)。

    注意

    當您在建立向量索引後插入向量資料,可以將可篩選的中繼資料以鍵值對形式連接至每個向量。根據預設,連接至向量的所有中繼資料索引鍵都是可篩選的,並且可以當作相似度查詢中的篩選條件。只有在向量索引建立期間指定為不可篩選的中繼資料索引鍵,才會排除在篩選範圍外。如需每個向量中繼資料大小限制 (包括總中繼資料限制和可篩選中繼資料限制) 的詳細資訊,請參閱

  9. 針對加密,選擇指定加密類型,然後選擇下列其中一個選項:

    • 使用儲存貯體設定進行加密 – Amazon S3 會套用向量儲存貯體加密設定來加密向量索引中的向量資料。

    • 覆寫加密的儲存貯體設定 – 指定向量索引的特定加密類型:

      • 使用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密 – 透過 SSE-S3,Amazon S3 會自動處理加密金鑰的產生、輪換和管理。

      • 使用 AWS Key Management Service 金鑰 (SSE-KMS) 的伺服器端加密 – 類似於 SSE-S3,但在 AWS KMS 中使用客戶受管金鑰 (CMKs),可讓您進一步控制金鑰。如需有關客戶自管金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的客戶自管金鑰

        如果您選取此選項,請在 AWS KMS 金鑰下選擇下列其中一個選項:

        • 從 AWS KMS 金鑰中選擇 – 從下拉式清單中選擇現有的 KMS 金鑰

        • 輸入 AWS KMS 金鑰 ARN – 輸入 KMS 金鑰的 Amazon Resource Name (ARN)

        • 建立 KMS 金鑰 – 在 AWS KMS 主控台中建立新的客戶受管金鑰。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的建立對稱客戶自管金鑰

        注意

        下列要求適用於 KMS 金鑰:

        • AWS KMS 金鑰 ID 不得空白。

        • 您的 KMS 金鑰必須位於建立此儲存貯體的相同區域中。

        • AWS KMS 金鑰 ARN 必須以 "arn:aws:kms:" 開頭

        重要

        • 建立向量索引後,就無法變更加密設定。

        • 如果您選擇輸入 AWS KMS 金鑰 ARN,請在提供的文字欄位中輸入 ARN。

        • 如果您選擇建立 KMS 金鑰,主控台會在新索引標籤中開啟 AWS KMS 主控台。如需有關建立 KMS 金鑰的指示,請參閱《AWS Key Management Service 開發人員指南》中的建立對稱客戶自管金鑰

        重要

        使用 KMS 加密時,請確定需要存取儲存貯體中的物件的 IAM 主體,具有所選 KMS 金鑰的必要 KMS 許可 (kms:Decrypt)。

  10. 標籤 (選用) 下,您可以將標籤新增為鍵值對,以協助使用 AWS Billing and Cost Management 追蹤和組織向量索引成本。輸入 Key (索引鍵)Value (數值)。若要新增其他標籤,選擇 Add Tag (新增標籤)。您可以為向量索引輸入最多 50 個標籤。如需詳細資訊,請參閱搭配 S3 向量儲存貯體使用標籤

  11. 仔細檢閱您的組態。

    注意

    這些設定在建立後便無法變更。

  12. 選擇建立向量索引

下列範例示範如何使用 AWS CLI,建立具有 SSE-S3 加密組態的向量儲存貯體。若要使用此範例,請以您自己的資訊取代使用者輸入預留位置

aws s3vectors create-vector-bucket \
        --vector-bucket-name "amzn-s3-demo-vector-bucket" \
        --encryption-configuration '{"sseType": "AES256"}'

下列範例示範如何建立向量儲存貯體,該儲存貯體使用 SSE-KMS 加密組態和客戶自管金鑰。若要使用此範例,請以您自己的資訊取代使用者輸入預留位置

aws s3vectors create-vector-bucket \
        --vector-bucket-name "amzn-s3-demo-vector-bucket" \
        --encryption-configuration '{"sseType": "aws:kms", "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}'

下列範例示範如何使用 建立具有 SSE-S3 加密組態的向量索引 AWS CLI。若要使用此範例,請以您自己的資訊取代使用者輸入預留位置

aws s3vectors create-index \
        --vector-bucket-name "amzn-s3-demo-vector-bucket" \
        --index-name "amzn-s3-demo-vector-index" \
        --encryption-configuration '{"sseType": "AES256"}'

下列範例示範如何建立向量索引,該索引使用 SSE-KMS 加密組態搭配客戶受管金鑰。若要使用此範例,請以您自己的資訊取代使用者輸入預留位置

aws s3vectors create-index \
        --vector-bucket-name "amzn-s3-demo-vector-bucket" \
        --index-name "amzn-s3-demo-vector-index" \
        --encryption-configuration '{"sseType": "aws:kms", "kmsKeyArn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890abc"}'

下列範例顯示 將使用向量儲存貯體的加密設定建立向量索引。若要使用此範例,請以您自己的資訊取代使用者輸入預留位置

aws s3vectors create-index \
        --vector-bucket-name "amzn-s3-demo-vector-bucket" \
        --index-name "amzn-s3-demo-vector-index" \