本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 数据加密
<a name="data-encryption"></a>

Amazon Bedrock 使用加密来保护静态数据和传输中数据。

**传输中加密**

在内部 AWS，所有传输中的网络间数据都支持 TLS 1.2 加密。

通过安全 (SSL) 连接发出对 Amazon Bedrock API 和控制台的请求。您将 AWS Identity and Access Management (IAM) 角色传递给 Amazon Bedrock，以提供代表您访问资源以进行培训和部署的权限。

**静态加密**

Amazon Bedrock 提供静态[自定义模型加密](encryption-custom-job.md)。

## 密钥管理
<a name="key-management"></a>

使用 AWS Key Management Service 来管理用于加密资源的密钥。有关更多信息，请参阅 [AWS Key Management Service 概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)。您可以使用 KMS 密钥来加密以下资源。
+ 通过 Amazon Bedrock
  + 模型自定义任务及其输出自定义模型-在控制台中创建任务期间或通过在 [CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)API 调用中指定`customModelKmsKeyId`字段。
  + 代理-在控制台中创建代理期间，或者在 [CreateAgent](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateAgent.html)API 调用中指定`customerEncryptionKeyArn`字段。
  + 知识库的数据源提取作业-在控制台中创建知识库期间，或者通过在[CreateDataSource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_CreateDataSource.html)或 [UpdateDataSource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_UpdateDataSource.html)API 调用中指定`kmsKeyArn`字段。
  + Amazon S OpenSearch ervice 中的矢量存储-在创建矢量商店期间。有关更多信息，请参阅[创建、列出和删除亚马逊 OpenSearch 服务馆藏](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-manage.html)以及[加密亚马逊 OpenSearch 服务的静态数据](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html)。
  + 模型评估作业 — 在控制台中创建模型评估任务或在 [CreateEvaluationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateEvaluationJob.html)API 调用` customerEncryptionKeyId`中指定密钥 ARN 时。
+ 通过 Amazon S3 — 有关更多信息，请参阅[使用带 AWS KMS 密钥的服务器端加密 (SSE-](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) KMS)。
  + 用于模型自定义的训练、验证和输出数据
  + 知识库的数据来源
+ 通过 AWS Secrets Manager — 有关更多信息，请参阅中的[秘密加密和解密 AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)
  + 第三方模型的向量存储

加密资源后，您可以通过选择资源并在控制台中查看其**详细信息**或使用以下 `Get` API 调用来查找 KMS 密钥的 ARN。
+ [GetModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_GetModelCustomizationJob.html)
+ [GetAgent](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_GetAgent.html)
+ [GetIngestionJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_GetIngestionJob.html)