Chiffrement des ressources des bases de connaissances - Amazon Bedrock

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des ressources des bases de connaissances

Amazon Bedrock chiffre les ressources liées à vos bases de connaissances. Par défaut, Amazon Bedrock chiffre ces données à l'aide d'une clé AWS gérée. Vous pouvez éventuellement chiffrer les artefacts du modèle à l’aide d’une clé gérée par le client.

Le chiffrement à l'aide d'une KMS clé peut être effectué à l'aide des processus suivants :

  • Stockage des données transitoires lors de l’ingestion des sources de données

  • Transmission d'informations au OpenSearch Service si vous autorisez Amazon Bedrock à configurer votre base de données vectorielle

  • Interrogation d’une base de connaissances

Les ressources suivantes utilisées par vos bases de connaissances peuvent être chiffrées à l'aide d'une KMS clé. Si vous les chiffrez, vous devez ajouter des autorisations pour déchiffrer la KMS clé.

  • Sources de données stockées dans un compartiment Amazon S3.

  • Stockages vectoriels tiers

Pour plus d'informations AWS KMS keys, consultez la section Clés gérées par le client dans le Guide du AWS Key Management Service développeur.

Note

Les bases de connaissances Amazon Bedrock utilisent TLS le chiffrement pour communiquer avec les magasins de vecteurs tiers lorsque le fournisseur autorise et prend en charge le TLS chiffrement pendant le transport.

Chiffrement du stockage des données transitoires lors de l’ingestion de données

Lorsque vous configurez une tâche d'ingestion de données pour votre base de connaissances, vous pouvez la chiffrer à l'aide d'une KMS clé personnalisée.

Pour autoriser la création d'une AWS KMS clé pour le stockage de données transitoires lors du processus d'ingestion de votre source de données, associez la politique suivante à votre rôle de service Amazon Bedrock. Remplacez le region, account-id, et key-id avec les valeurs appropriées.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }

Chiffrement des informations transmises à Amazon OpenSearch Service

Si vous choisissez de laisser Amazon Bedrock créer une boutique vectorielle dans Amazon OpenSearch Service pour votre base de connaissances, Amazon Bedrock peut transmettre une KMS clé de votre choix à Amazon OpenSearch Service à des fins de chiffrement. Pour en savoir plus sur le chiffrement dans Amazon OpenSearch Service, consultez la section Chiffrement dans Amazon OpenSearch Service.

Chiffrement de la récupération des bases de connaissances

Vous pouvez chiffrer les sessions au cours desquelles vous générez des réponses en interrogeant une base de connaissances à l'aide d'une KMS clé. Pour ce faire, incluez le ARN code d'une KMS clé dans le kmsKeyArn champ lorsque vous faites une RetrieveAndGeneratedemande. Joignez la politique suivante, en remplaçant le values de manière appropriée pour permettre à Amazon Bedrock de chiffrer le contexte de session.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:region:account-id:key/key-id } ] }

Autorisations pour déchiffrer votre AWS KMS clé pour vos sources de données dans Amazon S3

Vous stockez les sources de données de votre base de connaissances dans votre compartiment Amazon S3. Pour chiffrer ces documents au repos, vous pouvez utiliser l'option de chiffrement côté serveur Amazon SSE S3 -S3. Avec cette option, les objets sont chiffrés avec des clés de service gérées par le service Amazon S3.

Pour plus d'informations, consultez la section Protection des données à l'aide du chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3) dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Si vous avez chiffré vos sources de données dans Amazon S3 avec une AWS KMS clé personnalisée, associez la politique suivante à votre rôle de service Amazon Bedrock afin de permettre à Amazon Bedrock de déchiffrer votre clé. Remplacez region and account-id avec la région et le numéro de compte auxquels appartient la clé. Remplacez key-id avec l'identifiant de votre AWS KMS clé.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "KMS:Decrypt", ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ], "Condition": { "StringEquals": { "kms:ViaService": [ "s3.region.amazonaws.com" ] } } }] }

Autorisations permettant de déchiffrer un AWS Secrets Manager secret pour le magasin de vecteurs contenant votre base de connaissances

Si le magasin vectoriel contenant votre base de connaissances est configuré avec un AWS Secrets Manager secret, vous pouvez le chiffrer à l'aide d'une AWS KMS clé personnalisée en suivant les étapes décrites dans la section Chiffrement et déchiffrement secrets dans. AWS Secrets Manager

Dans ce cas, associez la politique suivante à votre fonction du service Amazon Bedrock pour lui permettre de déchiffrer la clé. Remplacez region and account-id avec la région et le numéro de compte auxquels appartient la clé. Remplacez key-id avec l'identifiant de votre AWS KMS clé.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] } ] }