Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement des ressources des bases de connaissances
Amazon Bedrock chiffre les ressources liées à vos bases de connaissances. Par défaut, Amazon Bedrock chiffre ces données à l'aide d'une clé AWS gérée. Vous pouvez éventuellement chiffrer les artefacts du modèle à l’aide d’une clé gérée par le client.
Le chiffrement avec une clé KMS peut être effectué à l’aide des processus suivants :
-
Stockage des données transitoires lors de l’ingestion des sources de données
-
Transmission d'informations au OpenSearch Service si vous autorisez Amazon Bedrock à configurer votre base de données vectorielle
-
Interrogation d’une base de connaissances
Les ressources suivantes utilisées par vos bases de connaissances peuvent être chiffrées à l’aide d’une clé KMS. Si vous les chiffrez, vous devez ajouter des autorisations pour déchiffrer la clé KMS.
-
Sources de données stockées dans un compartiment Amazon S3.
-
Stockages vectoriels tiers
Pour plus d'informations AWS KMS keys, consultez la section Clés gérées par le client dans le Guide du AWS Key Management Service développeur.
Rubriques
- Chiffrement du stockage des données transitoires lors de l’ingestion de données
- Chiffrement des informations transmises à Amazon OpenSearch Service
- Chiffrement de la récupération des bases de connaissances
- Autorisations pour déchiffrer votre AWS KMS clé pour vos sources de données dans Amazon S3
- Autorisations permettant de déchiffrer un AWS Secrets Manager secret pour le magasin de vecteurs contenant votre base de connaissances
Chiffrement du stockage des données transitoires lors de l’ingestion de données
Lorsque vous configurez une tâche d’ingestion de données pour votre base de connaissances, vous pouvez la chiffrer à l’aide d’une clé KMS personnalisée.
Pour autoriser la création d'une AWS KMS clé pour le stockage de données transitoires lors du processus d'ingestion de votre source de données, associez la politique suivante à votre rôle de service Amazon Bedrock. Remplacez region, account-id et key-id par les valeurs appropriées.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }
Chiffrement des informations transmises à Amazon OpenSearch Service
Si vous choisissez de laisser Amazon Bedrock créer une boutique vectorielle dans Amazon OpenSearch Service pour votre base de connaissances, Amazon Bedrock peut transmettre une clé KMS que vous choisissez à Amazon OpenSearch Service à des fins de chiffrement. Pour en savoir plus sur le chiffrement dans Amazon OpenSearch Service, consultez la section Chiffrement dans Amazon OpenSearch Service.
Chiffrement de la récupération des bases de connaissances
Vous pouvez chiffrer les sessions au cours desquelles vous générez des réponses en interrogeant une base de connaissances à l’aide d’une clé KMS. Pour ce faire, incluez l'ARN d'une clé KMS dans le kmsKeyArn champ lorsque vous faites une RetrieveAndGeneratedemande. Associez la politique suivante, en remplaçant les valeurs de manière appropriée pour permettre à Amazon Bedrock de chiffrer le contexte de la session.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:region:account-id:key/key-id} ] }
Autorisations pour déchiffrer votre AWS KMS clé pour vos sources de données dans Amazon S3
Vous stockez les sources de données de votre base de connaissances dans votre compartiment Amazon S3. Pour chiffrer ces documents au repos, vous pouvez utiliser l’option de chiffrement côté serveur SSE-S3 d’Amazon S3. Avec cette option, les objets sont chiffrés avec des clés de service gérées par le service Amazon S3.
Pour plus d'informations, consultez la section Protection des données à l'aide du chiffrement côté serveur avec les clés de chiffrement gérés par Amazon S3 (SSE-S3) dans le Guide de l'utilisateur Amazon Simple Storage Service.
Si vous avez chiffré vos sources de données dans Amazon S3 avec une AWS KMS clé personnalisée, associez la politique suivante à votre rôle de service Amazon Bedrock afin de permettre à Amazon Bedrock de déchiffrer votre clé. Remplacez region et account-id par la région et l'ID du compte auxquels appartient la clé. Remplacez key-id par l'identifiant de votre AWS KMS clé.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "KMS:Decrypt", ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.region.amazonaws.com" ] } } }] }
Autorisations permettant de déchiffrer un AWS Secrets Manager secret pour le magasin de vecteurs contenant votre base de connaissances
Si le magasin vectoriel contenant votre base de connaissances est configuré avec un AWS Secrets Manager secret, vous pouvez le chiffrer avec une AWS KMS clé personnalisée en suivant les étapes décrites dans la section Chiffrement secret et déchiffrement dans. AWS Secrets Manager
Dans ce cas, associez la politique suivante à votre fonction du service Amazon Bedrock pour lui permettre de déchiffrer la clé. Remplacez region et account-id par la région et l'ID du compte auxquels appartient la clé. Remplacez key-id par l'identifiant de votre AWS KMS clé.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }
