ナレッジベースリソースの暗号化 - Amazon Bedrock
データインジェスト時の一時データストレージの暗号化Amazon OpenSearch Service に渡される情報の暗号化ナレッジベース取得の暗号化Amazon S3 のデータソースの AWS KMS キーを復号するためのアクセス許可ナレッジベースを含むベクトルストアの AWS Secrets Manager シークレットを復号化するアクセス許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ナレッジベースリソースの暗号化

Amazon Bedrock はナレッジベースに関連するリソースを暗号化します。デフォルトでは、Amazon Bedrock は AWS マネージドキーを使用してこのデータを暗号化します。オプションで、カスタマーマネージドキーを使用して、モデルアーティファクトを暗号化することもできます。

KMS キーによる暗号化は、以下のプロセスで行うことができます。

  • データソースの取り込み中の一時的なデータストレージ

  • Amazon Bedrock にベクトルデータベースを設定させる場合の OpenSearch Service への情報の受け渡し

  • ナレッジベースへのクエリの実行

ナレッジベースが使用する以下のリソースは KMS キーで暗号化できます。暗号化する場合は、KMS キーを復号するためのアクセス許可を追加する必要があります。

  • Amazon S3 バケットに保存されているデータソース

  • サードパーティーのベクトルストア

の詳細については AWS KMS keys、「 AWS Key Management Service デベロッパーガイド」の「カスタマーマネージドキー」を参照してください。

データインジェスト時の一時データストレージの暗号化

ナレッジベースのデータインジェストジョブを設定すると、カスタム KMS キーでジョブを暗号化できます。

データソースの取り込みプロセス中に一時的なデータストレージの AWS KMS キーを作成できるようにするには、Amazon Bedrock サービスロールに次のポリシーをアタッチします。regionaccount-idkey-id を適切な値に置き換えます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
              "kms:GenerateDataKey",
              "kms:Decrypt"
          ],
          "Resource": [
              "arn:aws:kms:region:account-id:key/key-id"
          ]
        }
    ]
}

Amazon OpenSearch Service に渡される情報の暗号化

Amazon Bedrock がナレッジベース用に Amazon OpenSearch Service にベクトルストアを作成することを許可することを選択した場合、Amazon Bedrock は選択した KMS キーを暗号化のために Amazon OpenSearch Service に渡すことができます。Amazon OpenSearch Service での暗号化の詳細については、「Amazon OpenSearch Service での暗号化」を参照してください。

ナレッジベース取得の暗号化

ナレッジベースに KMS キーでクエリを実行することにより、レスポンスを生成するセッションを暗号化することができます。そのためには、RetrieveAndGenerateリクエストを行うときに kmsKeyArnフィールドに KMS キーの ARN を含めます。Amazon Bedrock がセッションコンテキストを暗号化できるように、次のポリシーをアタッチし、[値] を適切に置き換えます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey", 
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:region:account-id:key/key-id
        }
    ]
}

Amazon S3 のデータソースの AWS KMS キーを復号するためのアクセス許可

ナレッジベースのデータソースを Amazon S3 バケットに保存します。これらのドキュメントを保存中に暗号化するには、Amazon S3 SSE-S3 サーバーサイド暗号化オプションを使用できます。このオプションでは、オブジェクトは Amazon S3 サービスによって管理されるサービスキーで暗号化されます。

詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3)」を参照してください。

Amazon S3 のデータソースをカスタムキーで暗号化した場合は、Amazon Bedrock サービスロールに次のポリシーをアタッチして、Amazon Bedrock がキーを復号できるようにします。 AWS KMS regionaccount-id は、キーが属するリージョンとアカウント ID に置き換えます。key-id を AWS KMS キーの ID に置き換えます。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "KMS:Decrypt",
        ],
        "Resource": [
            "arn:aws:kms:region:account-id:key/key-id"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": [
                    "s3.region.amazonaws.com"
               ]
           }
        }
    }]
}

ナレッジベースを含むベクトルストアの AWS Secrets Manager シークレットを復号化するアクセス許可

ナレッジベースを含むベクトルストアが AWS Secrets Manager シークレットで設定されている場合、「 のシークレット暗号化と復号」の手順に従って、シークレットをカスタム AWS KMS キーで暗号化できます。 AWS Secrets Manager

そうする場合、Amazon Bedrock サービスロールに次のポリシーをアタッチして、サービスロールがキーを復号化できるようにします。regionaccount-id は、キーが属するリージョンとアカウント ID に置き換えます。key-id を AWS KMS キーの ID に置き換えます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:region:account-id:key/key-id"
            ]
        }
    ]
}