本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 知識庫資源的加密
<a name="encryption-kb"></a>

Amazon Bedrock 會加密與您的知識庫相關的資源。根據預設，Amazon Bedrock 會使用 AWS擁有的金鑰來加密此資料。或者，您可以使用客戶管理的金鑰加密模型成品。

下列程序可能會使用 KMS 金鑰進行加密：
+ 擷取您的資料來源時的暫時性資料儲存
+ 如果您讓 Amazon Bedrock 設定向量資料庫，請將資訊傳遞給 OpenSearch Service
+ 查詢知識庫

您的知識庫使用的下列資源，可以使用 KMS 金鑰加密。如果您將資源加密，您需要新增許可權來解密 KMS 金鑰。
+ 存放在 Amazon S3 儲存貯體中的資料來源
+ 第三方向量存放區

如需 的詳細資訊 AWS KMS keys，請參閱《 *AWS Key Management Service 開發人員指南*》中的[客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。

**注意**  
Amazon Bedrock 知識庫使用 TLS 加密與第三方資料來源連接器和向量存放區進行通訊，其中提供者允許並支援傳輸中的 TLS 加密。

**Topics**
+ [資料擷取期間的暫時性資料儲存加密](#encryption-kb-ingestion)
+ [將資訊加密傳遞至 Amazon OpenSearch Service](#encryption-kb-oss)
+ [將傳遞給 Amazon S3 Vectors 的資訊加密](#encryption-kb-s3-vector)
+ [知識庫檢索加密](#encryption-kb-runtime)
+ [在 Amazon S3 中解密資料來源 AWS KMS 金鑰的許可](#encryption-kb-ds)
+ [解密包含知識庫之向量存放區的 AWS Secrets Manager 秘密的許可](#encryption-kb-3p)
+ [具有 AWS KMS 加密的 Bedrock 資料自動化 (BDA) 許可](#encryption-kb-bda)

## 資料擷取期間的暫時性資料儲存加密
<a name="encryption-kb-ingestion"></a>

為知識庫設定資料擷取任務時，可以使用自訂 KMS 金鑰加密任務。

若要允許在擷取資料來源的過程中建立暫時性資料儲存的 AWS KMS 金鑰，請將下列政策連接至您的 Amazon Bedrock 服務角色。將範例值取代為您自己的 AWS 區域、帳戶 ID 和 AWS KMS 金鑰 ID。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
            ]
        }
    ]
}
```

------

## 將資訊加密傳遞至 Amazon OpenSearch Service
<a name="encryption-kb-oss"></a>

如果您選擇讓 Amazon Bedrock 在 Amazon OpenSearch Service 中為您的知識庫建立向量存放區，Amazon Bedrock 可以將您選擇的 KMS 密鑰傳遞至 Amazon OpenSearch Service 服務進行加密。若要進一步了解 Amazon OpenSearch Service 中的加密，請參閱 [Amazon OpenSearch Service 中的加密](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html)。

## 將傳遞給 Amazon S3 Vectors 的資訊加密
<a name="encryption-kb-s3-vector"></a>

如果您選擇讓 Amazon Bedrock 在 Amazon S3 Vectors 中為知識庫建立 S3 向量儲存貯體和向量索引，Amazon Bedrock 可以將您選擇的 KMS 金鑰傳遞至 Amazon S3 Vectors 服務進行加密。若要進一步了解 Amazon S3 Vectors 中的加密，請參閱[使用 Amazon S3 Vectors 加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-vectors-bucket-encryption.html)。

## 知識庫檢索加密
<a name="encryption-kb-runtime"></a>

您可以透過使用 KMS 金鑰查詢知識庫來加密產生回應的工作階段。若要這麼做，請在提出 [RetrieveAndGenerate](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) 請求時，在 `kmsKeyArn` 欄位中包含 KMS 金鑰的 ARN。連接下列政策，將範例值取代為您自己的 AWS 區域、帳戶 ID 和 AWS KMS 金鑰 ID，以允許 Amazon Bedrock 加密工作階段內容。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
        }
    ]
}
```

------

## 在 Amazon S3 中解密資料來源 AWS KMS 金鑰的許可
<a name="encryption-kb-ds"></a>

您可以將知識庫的資料來源存放在您的 Amazon S3 儲存貯體中。若要將這些靜態文件加密，您可以使用 Amazon S3 SSE-S3 伺服器端加密選項。使用此選項，物件會使用 Amazon S3 服務管理的服務金鑰加密。

如需詳細資訊，請參閱《Amazon Simple Storage Service 使用者指南》**中的[透過 Amazon S3 受管加密金鑰 (SSE-S3) 使用伺服器端加密來保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。

如果您使用自訂 AWS KMS 金鑰在 Amazon S3 中加密資料來源，請將下列政策連接至 Amazon Bedrock 服務角色，以允許 Amazon Bedrock 解密您的金鑰。將範例值取代為您自己的 AWS 區域、帳戶 ID 和 AWS KMS 金鑰 ID。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "KMS:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": [
                        "s3.us-east-1.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

## 解密包含知識庫之向量存放區的 AWS Secrets Manager 秘密的許可
<a name="encryption-kb-3p"></a>

如果包含知識庫的向量存放區已設定 AWS Secrets Manager 秘密，您可以依照秘密加密和解密中的步驟，使用自訂 AWS KMS 金鑰來加密秘密。 [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)

如果您這麼做，只要將下列政策連接到 Amazon Bedrock 服務角色，就能允許將您的金鑰解密。將範例值取代為您自己的 AWS 區域、帳戶 ID 和 AWS KMS 金鑰 ID。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
            ]
        }
    ]
}
```

------

## 具有 AWS KMS 加密的 Bedrock 資料自動化 (BDA) 許可
<a name="encryption-kb-bda"></a>

使用 BDA 處理具有客戶受管 AWS KMS 金鑰的多模態內容時，除了標準許可之外，還需要額外的 AWS KMS 許可。

將下列政策連接至 Amazon Bedrock 服務角色，以允許 BDA 使用加密的多媒體檔案。將範例值取代為您自己的 AWS 區域、帳戶 ID 和 AWS KMS 金鑰 ID。

```
{
    "Sid": "KmsPermissionStatementForBDA",
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:CreateGrant"
    ],
    "Resource": "arn:aws:kms:{{region}}:{{account-id}}:key/{{key-id}}",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "{{account-id}}",
            "kms:ViaService": "bedrock.{{region}}.amazonaws.com"
        }
    }
}
```

BDA 特定的許可包括 `kms:DescribeKey`和 `kms:CreateGrant`動作，BDA 需要這些動作來處理加密的音訊、影片和影像檔案。