Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung von Wissensdatenbankressourcen
Amazon Bedrock verschlüsselt Ressourcen, die sich auf Ihre Wissensdatenbanken beziehen. Standardmäßig verschlüsselt Amazon Bedrock diese Daten mit einem von AWS verwalteten Schlüssel. Optional können Sie die Modellartefakte mit einem kundenverwalteten Schlüssel verschlüsseln.
Die Verschlüsselung mit einem KMS-Schlüssel kann mit den folgenden Prozessen erfolgen:
-
Vorübergehende Datenspeicherung während der Erfassung Ihrer Datenquellen
-
Übergeben von Informationen an den OpenSearch Service, wenn Sie Amazon Bedrock Ihre Vektordatenbank einrichten lassen
-
Abfragen einer Wissensdatenbank
Die folgenden Ressourcen, die von Ihren Wissensdatenbanken verwendet werden, können mit einem KMS-Schlüssel verschlüsselt werden. Wenn Sie sie verschlüsseln, müssen Sie Berechtigungen zum Entschlüsseln des KMS-Schlüssels hinzufügen.
-
In einem Amazon-S3-Bucket gespeicherte Datenquellen
-
Vektorspeicher von Drittanbietern
Weitere Informationen zu AWS KMS keysfinden Sie unter Kundenverwaltete Schlüssel im AWS Key Management Service -Entwicklerhandbuch.
Themen
- Verschlüsselung der vorübergehenden Datenspeicherung während der Datenerfassung
- Verschlüsselung von an Amazon OpenSearch Service übergebenen Informationen
- Verschlüsselung von Wissensdatenbankabrufen
- Berechtigungen zum Entschlüsseln Ihres AWS KMS Schlüssels für Ihre Datenquellen in Amazon S3
- Berechtigungen zum Entschlüsseln eines - AWS Secrets Manager Secrets für den Vektorspeicher, der Ihre Wissensdatenbank enthält
Verschlüsselung der vorübergehenden Datenspeicherung während der Datenerfassung
Wenn Sie einen Datenerfassungsauftrag für Ihre Wissensdatenbank einrichten, können Sie den Auftrag mit einem benutzerdefinierten KMS-Schlüssel verschlüsseln.
Um die Erstellung eines AWS KMS Schlüssels für die vorübergehende Datenspeicherung bei der Aufnahme Ihrer Datenquelle zu ermöglichen, fügen Sie Ihrer Amazon-Bedrock-Servicerolle die folgende Richtlinie an. Ersetzen Sie region, account-id und key-id durch die entsprechenden Werte.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }
Verschlüsselung von an Amazon OpenSearch Service übergebenen Informationen
Wenn Sie sich dafür entscheiden, Amazon Bedrock einen Vektorspeicher in Amazon OpenSearch Service für Ihre Wissensdatenbank erstellen zu lassen, kann Amazon Bedrock einen KMS-Schlüssel übergeben, den Sie zur Verschlüsselung an Amazon OpenSearch Service übergeben. Weitere Informationen zur Verschlüsselung in Amazon OpenSearch Service finden Sie unter Verschlüsselung in Amazon OpenSearch Service .
Verschlüsselung von Wissensdatenbankabrufen
Sie können Sitzungen, in denen Sie Antworten durch Abfragen einer Wissensdatenbank generieren, mit einem KMS-Schlüssel verschlüsseln. Fügen Sie dazu den ARN eines KMS-Schlüssels in das kmsKeyArn Feld ein, wenn Sie eine RetrieveAndGenerate Anforderung stellen. Fügen Sie die folgende Richtlinie bei und ersetzen Sie die Werte entsprechend, damit Amazon Bedrock den Sitzungskontext verschlüsseln kann.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:region:account-id:key/key-id} ] }
Berechtigungen zum Entschlüsseln Ihres AWS KMS Schlüssels für Ihre Datenquellen in Amazon S3
Sie speichern die Datenquellen für Ihre Wissensdatenbank in Ihrem Amazon-S3-Bucket. Wenn Sie diese Dokumente im Ruhezustand verschlüsseln möchten, können Sie die serverseitige Verschlüsselungsoption von Amazon S3 SSE-S3 verwenden. Mit dieser Option werden Objekte mit Serviceschlüsseln verschlüsselt, die vom Amazon-S3-Service verwaltet werden.
Weitere Informationen finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung mit Amazon-S3-verwalteten Verschlüsselungsschlüsseln (SSE-S3) im Benutzerhandbuch von Amazon Simple Storage Service.
Wenn Sie Ihre Datenquellen in Amazon S3 mit einem benutzerdefinierten AWS KMS Schlüssel verschlüsselt haben, fügen Sie Ihrer Amazon-Bedrock-Servicerolle die folgende Richtlinie an, damit Amazon Bedrock Ihren Schlüssel entschlüsseln kann. Ersetzen Sie region und account-id durch die Region und Konto-ID, zu der der Schlüssel gehört. Ersetzen Sie key-id durch die ID Ihres AWS KMS Schlüssels.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "KMS:Decrypt", ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.region.amazonaws.com" ] } } }] }
Berechtigungen zum Entschlüsseln eines - AWS Secrets Manager Secrets für den Vektorspeicher, der Ihre Wissensdatenbank enthält
Wenn der Vektorspeicher, der Ihre Wissensdatenbank enthält, mit einem - AWS Secrets Manager Secret konfiguriert ist, können Sie das Secret mit einem benutzerdefinierten AWS KMS Schlüssel verschlüsseln, indem Sie die Schritte unter Secret-Verschlüsselung und -Entschlüsselung in AWS Secrets Manager befolgen.
Fügen Sie Ihrer Amazon-Bedrock-Servicerolle in diesem Fall die folgende Richtlinie an, damit sie Ihren Schlüssel entschlüsseln kann. Ersetzen Sie region und account-id durch die Region und Konto-ID, zu der der Schlüssel gehört. Ersetzen Sie key-id durch die ID Ihres AWS KMS Schlüssels.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }
