数据加密

Amazon Bedrock 使用加密来保护静态数据和传输中数据。

主题

• 传输中加密
• 静态加密
• 密钥管理
• 对模型自定义任务和构件进行加密
• 代理资源的加密
• 知识库资源的加密
• 亚马逊 Bedrock Studio 的加密

传输中加密

在内部 AWS，所有传输中的网络间数据都支持 TLS 1.2 加密。

通过安全 (SSL) 连接发出对 Amazon Bedrock API 和控制台的请求。您将 AWS Identity and Access Management (IAM) 角色传递给 Amazon Bedrock，以提供代表您访问资源以进行培训和部署的权限。

静态加密

Amazon Bedrock 提供静态对模型自定义任务和构件进行加密。

密钥管理

使用 AWS Key Management Service 来管理用于加密资源的密钥。有关更多信息，请参阅 AWS Key Management Service 概念。您可以使用 KMS 密钥来加密以下资源。

• 通过 Amazon Bedrock

  • 模型自定义任务及其输出自定义模型-在控制台中创建任务期间或通过在 CreateModelCustomizationJobAPI 调用中指定customModelKmsKeyId字段。

  • 代理-在控制台中创建代理期间，或者在 CreateAgentAPI 调用中指定字段。

  • 知识库的数据源提取作业-在控制台中创建知识库期间，或者通过在CreateDataSource或 UpdateDataSourceAPI 调用中指定kmsKeyArn字段。

  • Amazon S OpenSearch ervice 中的矢量存储-在创建矢量商店期间。有关更多信息，请参阅创建、列出和删除亚马逊 OpenSearch 服务馆藏以及加密亚马逊 OpenSearch 服务的静态数据。

• 通过 Amazon S3 — 有关更多信息，请参阅使用带 AWS KMS 密钥的服务器端加密 (SSE- KMS)。

  • 用于模型自定义的训练、验证和输出数据

  • 知识库的数据来源

• 通过 AWS Secrets Manager — 有关更多信息，请参阅中的秘密加密和解密 AWS Secrets Manager

  • 第三方模型的向量存储

加密资源后，您可以通过选择资源并在控制台中查看其详细信息或使用以下 Get API 调用来查找 KMS 密钥的 ARN。

• GetModelCustomizationJob

• GetAgent

• GetIngestionJob