Perlindungan data dan enkripsi di Vektor S3

catatan

Vektor Amazon S3 sedang dalam rilis pratinjau untuk Amazon Simple Storage Service dan dapat berubah sewaktu-waktu.

Vektor Amazon S3 memberikan daya tahan 99,999999999% (11 9s) untuk data vektor Anda, yang memastikan keandalan luar biasa untuk kebutuhan penyimpanan vektor Anda. Daya tahan ini didukung oleh infrastruktur Amazon S3 yang telah terbukti, yang dirancang untuk menjaga integritas dan ketersediaan data bahkan dalam menghadapi kegagalan perangkat keras atau gangguan lainnya.

Perlindungan data di Vektor S3 mencakup beberapa lapisan kontrol keamanan yang dirancang untuk melindungi data vektor Anda baik saat istirahat maupun saat transit.

Secara default, semua vektor baru di bucket vektor Amazon S3 Vektor menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3). Saat Anda membuat bucket vektor dengan enkripsi SSE-S3, semua operasi berikutnya pada bucket secara otomatis menggunakan enkripsi.

S3 Vectors juga terintegrasi dengan AWS Key Management Service (KMS) untuk menyediakan opsi manajemen kunci enkripsi yang fleksibel, memungkinkan Anda memilih kunci yang dikelola pelanggan untuk kontrol izin dan auditabilitas.

Menyetel perilaku enkripsi sisi server untuk bucket vektor Amazon S3

Konfigurasi enkripsi di Vektor S3 adalah pengaturan keamanan mendasar untuk menentukan kapan Anda membuat bucket vektor. Desain ini memastikan bahwa semua data vektor yang disimpan dalam bucket dienkripsi sejak saat pembuatan. Konfigurasi enkripsi berlaku untuk semua vektor, indeks vektor, dan metadata di dalam bucket, memberikan perlindungan yang konsisten di seluruh kumpulan data vektor Anda dalam bucket vektor.

penting

Pengaturan enkripsi untuk bucket vektor tidak dapat diubah setelah bucket vektor dibuat. Anda harus mempertimbangkan dengan cermat persyaratan enkripsi selama proses pembuatan bucket, termasuk persyaratan kepatuhan, preferensi manajemen kunci, dan integrasi dengan infrastruktur keamanan yang ada.

Jenis enkripsi SSE-S3 atau SSE-KMS diatur pada tingkat bucket vektor dan berlaku untuk semua indeks vektor dan vektor di dalam bucket. Anda tidak dapat mengubah pengaturan enkripsi yang berbeda untuk indeks individual dalam bucket. Konfigurasi enkripsi tidak hanya berlaku untuk data vektor itu sendiri tetapi juga semua metadata terkait.

Menggunakan enkripsi SSE-S3

Enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) menyediakan solusi enkripsi yang sederhana dan efektif untuk bucket vektor tempat mengelola semua aspek proses enkripsi. AWS Metode enkripsi ini menggunakan AES-256 enkripsi dan dirancang untuk memberikan keamanan yang kuat dengan overhead operasional minimal, menyediakan organisasi dengan enkripsi yang kuat tanpa kerumitan kebutuhan untuk mengelola kunci enkripsi.

Dengan SSE-S3, Amazon S3 menangani pembuatan, rotasi, dan pengelolaan kunci enkripsi secara otomatis. SSE-S3 memberikan keamanan yang kuat tanpa konfigurasi tambahan atau persyaratan manajemen yang berkelanjutan. Proses enkripsi dan dekripsi ditangani secara otomatis oleh layanan, dan tidak ada biaya tambahan untuk menggunakan enkripsi SSE-S3 di luar harga Vektor S3 standar.

Menggunakan enkripsi SSE-KMS

Enkripsi sisi server dengan AWS kunci Layanan Manajemen Kunci (SSE-KMS) memberikan kontrol yang ditingkatkan atas kunci enkripsi dan memungkinkan pencatatan audit terperinci dari penggunaan kunci. Metode enkripsi ini sangat ideal untuk organisasi dengan persyaratan kepatuhan yang ketat, mereka yang perlu menerapkan kebijakan rotasi kunci khusus, atau lingkungan di mana jejak audit terperinci dari akses data diperlukan.

SSE-KMS memungkinkan Anda menggunakan kunci terkelola pelanggan (CMKs) untuk mengenkripsi data vektor Anda. Kunci yang dikelola pelanggan memberikan tingkat kontrol tertinggi, memungkinkan Anda menentukan kebijakan utama, mengaktifkan atau menonaktifkan kunci, dan memantau penggunaan kunci AWS CloudTrail. Tingkat kontrol ini membuat SSE-KMS sangat cocok untuk industri atau organisasi yang diatur dengan persyaratan tata kelola data tertentu.

Saat menggunakan SSE-KMS dengan kunci yang dikelola pelanggan, Anda memiliki kendali penuh atas siapa yang dapat menggunakan kunci untuk mengenkripsi dan mendekripsi data. Anda dapat membuat kebijakan kunci terperinci yang menentukan pengguna, peran, atau layanan mana yang dapat mengakses kunci tersebut.

Pertimbangan penting untuk SSE-KMS

Persyaratan format kunci KMS: Vektor S3 mengharuskan Anda menentukan kunci KMS menggunakan format Amazon Resource Name (ARN) lengkap. Alias kunci IDs atau kunci tidak didukung.
Izin utama layanan: Saat Anda menggunakan kunci yang dikelola pelanggan dengan Vektor S3, Anda harus secara eksplisit memberikan izin kepada prinsipal layanan Vektor S3 untuk menggunakan kunci KMS Anda. Persyaratan ini memastikan bahwa layanan dapat mengenkripsi dan mendekripsi data Anda atas nama Anda. Prinsip layanan yang membutuhkan akses adalahindexing.s3vectors.amazonaws.com.

Contoh: Kebijakan kunci KMS untuk Vektor S3

Untuk menggunakan kunci KMS yang dikelola pelanggan dengan Vektor S3, Anda harus memperbarui kebijakan kunci Anda untuk menyertakan izin untuk prinsipal layanan Vektor S3. Berikut adalah contoh kebijakan kunci yang komprehensif.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3VectorsServicePrincipal",
            "Effect": "Allow",
            "Principal": {
                "Service": "indexing.s3vectors.amazonaws.com"
            },
            "Action": "kms:Decrypt",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3vectors:aws-region:123456789012:bucket/*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": ["aws:s3vectors:arn", "aws:s3vectors:resource-id"]
                }
            }
        },
        {
            "Sid": "AllowApplicationAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam:123456789012:role/VectorApplicationRole",
                    "arn:aws:iam:123456789012:user/DataScientist"
                ]
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3vectors.aws-region.amazonaws.com"
                },
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": ["aws:s3vectors:arn", "aws:s3vectors:resource-id"]
                }
            }
        }
    ]
}

Izin KMS yang diperlukan:
- Izin utama layanan Vektor S3:
  - kms:Decrypt— Diperlukan oleh prinsipal layanan S3 Vectors (indexing.s3vectors.amazonaws.com) pada kunci yang dikelola pelanggan Anda untuk mempertahankan dan mengoptimalkan indeks dalam operasi latar belakang
- Izin utama IAM:
  - kms:Decrypt— Diperlukan untuk semua operasi tingkat vektor (PutVectors,,, GetVectors, QueryVectors) DeleteVectors ListVectors
  - kms:GenerateDataKey— Diperlukan untuk membuat bucket vektor dengan menggunakan kunci yang dikelola pelanggan
Pertimbangan akses lintas akun: Saat menerapkan pola akses lintas akun dengan SSE-KMS, Anda harus memastikan bahwa kebijakan kunci KMS memungkinkan akses dari prinsip yang sesuai di akun lain. Format ARN kunci menjadi sangat penting dalam skenario lintas akun, karena memberikan referensi yang jelas ke kunci terlepas dari konteks akun dari mana ia diakses.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Contoh kebijakan berbasis sumber daya Vektor S3

Mengatur enkripsi di Vektor S3