

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verschlüsselung von Wissensdatenbankressourcen
<a name="encryption-kb"></a>

Amazon Bedrock verschlüsselt Ressourcen, die sich auf Ihre Wissensdatenbanken beziehen. Standardmäßig verschlüsselt Amazon Bedrock diese Daten mit einem eigenen Schlüssel AWS. Optional können Sie die Modellartefakte mit einem kundenseitig verwalteten Schlüssel verschlüsseln.

**Vollständig verwaltete Wissensdatenbanken**

Die Verschlüsselung mit einem KMS-Schlüssel kann mit den folgenden Prozessen erfolgen:
+ Vorübergehende Datenspeicherung während der Erfassung Ihrer Datenquellen
+ Dauerhafter Datenspeicher bei gleichzeitiger Speicherung Ihrer Datenquellen
+ Abfragen einer Wissensdatenbank

Die folgenden Ressourcen, die von Ihren Wissensdatenbanken verwendet werden, können mit einem KMS-Schlüssel verschlüsselt werden. Wenn Sie sie verschlüsseln, müssen Sie Berechtigungen zum Entschlüsseln des KMS-Schlüssels hinzufügen.
+ In einem Amazon-S3-Bucket gespeicherte Datenquellen

**Benutzerdefinierte Wissensdatenbanken (Vector Store)**

Die Verschlüsselung mit einem KMS-Schlüssel kann mit den folgenden Prozessen erfolgen:
+ Vorübergehende Datenspeicherung während der Erfassung Ihrer Datenquellen
+ Weitergabe von Informationen an den OpenSearch Service, wenn Sie Amazon Bedrock die Einrichtung Ihrer Vektordatenbank überlassen
+ Abfragen einer Wissensdatenbank

Die folgenden Ressourcen, die von Ihren Wissensdatenbanken verwendet werden, können mit einem KMS-Schlüssel verschlüsselt werden. Wenn Sie sie verschlüsseln, müssen Sie Berechtigungen zum Entschlüsseln des KMS-Schlüssels hinzufügen.
+ In einem Amazon-S3-Bucket gespeicherte Datenquellen
+ Third-party Vektorspeicher

Weitere Informationen zu finden Sie AWS KMS keys unter Vom [Kunden verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) im *AWS Key Management Service Entwicklerhandbuch*.

**Anmerkung**  
Wissensdatenbanken für Amazon Bedrock verwendet TLS-Verschlüsselung für die Kommunikation mit Datenquellen-Connectors und Vektorspeichern von Drittanbietern, sofern der Anbieter die TLS-Verschlüsselung bei der Übertragung zulässt und unterstützt.

**Topics**
+ [Verschlüsselung der Datenspeicherung in einer vollständig verwalteten Wissensdatenbank](#encryption-kb-managed-ingestion)
+ [Verschlüsselung von Wissensdatenbankabrufen](#encryption-kb-runtime)
+ [Verschlüsselung der vorübergehenden Datenspeicherung während der Datenerfassung](#encryption-kb-ingestion)
+ [Verschlüsselung von Informationen, die an Amazon OpenSearch Service weitergegeben werden](#encryption-kb-oss)
+ [Verschlüsselung von Informationen, die an Amazon S3 Vectors weitergegeben werden](#encryption-kb-s3-vector)
+ [Berechtigungen zum Entschlüsseln Ihrer AWS KMS Schlüssel für Ihre Datenquellen in Amazon S3](#encryption-kb-ds)
+ [Berechtigungen zum Entschlüsseln eines AWS Secrets Manager geheim für den Vektorspeicher, der Ihre Wissensdatenbank enthält](#encryption-kb-3p)
+ [Berechtigungen für Bedrock Data Automation (BDA) mit AWS KMS Verschlüsselung](#encryption-kb-bda)

## Verschlüsselung der Datenspeicherung in einer vollständig verwalteten Wissensdatenbank
<a name="encryption-kb-managed-ingestion"></a>

Wenn Sie eine vollständig verwaltete Wissensdatenbank erstellen, können Sie die Daten mit einem benutzerdefinierten KMS-Schlüssel verschlüsseln. Der KMS-Schlüssel wird bei der Erstellung der Wissensdatenbank angegeben und gilt sowohl für den vorübergehenden Datenspeicher während der Aufnahme als auch für den permanenten Datenspeicher für die Indizierung.

Amazon Bedrock verwendet einen einzigen KMS-Schlüssel, den Sie bei der Erstellung der Wissensdatenbank angeben, um alle Daten in Ihrer Wissensdatenbank zu verschlüsseln. Dazu gehören vorübergehende Daten während der Aufnahme Ihrer Datenquellen und permanente Daten, die für die Indexierung und den Abruf gespeichert werden.

Wenn Sie eine vollständig verwaltete Wissensdatenbank mit einem vom Kunden verwalteten Schlüssel erstellen, überprüft Amazon Bedrock, ob es den Schlüssel verwenden kann, und erstellt dann eine Gewährung für den Schlüssel. Amazon Bedrock verwendet diesen Zuschuss, um Ihre Daten während der Aufnahme, Indizierung und des Abrufs zu verschlüsseln und zu entschlüsseln, und zieht den Zuschuss zurück, wenn Sie die Wissensdatenbank löschen.

Sie geben diese Berechtigungen in der Schlüsselrichtlinie Ihres AWS KMS Schlüssels für die IAM-Identität an, mit der die Wissensdatenbank erstellt wird, wie im folgenden Beispiel gezeigt. Ersetzen Sie die Beispielwerte durch Ihre eigene AWS Region, Konto-ID und die IAM-Rolle oder den Benutzer, der die Wissensdatenbank erstellt. Für die IAM-Servicerolle, die der Wissensdatenbank zugeordnet ist (die Rolle, die Amazon Bedrock zum Lesen Ihrer Datenquellen verwendet), sind keine Berechtigungen für den KMS-Schlüssel erforderlich.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/{{role-name}}"
            },
            "Action": [
                "kms:CreateGrant"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "bedrock.{{region}}.amazonaws.com"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "CreateGrant",
                        "GenerateDataKey",
                        "GenerateDataKeyWithoutPlaintext",
                        "DescribeKey",
                        "Encrypt",
                        "Decrypt"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/{{role-name}}"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "bedrock.{{region}}.amazonaws.com"
                }
            }
        }
    ]
}
```

### Überwachen Sie Ihre Verschlüsselungsschlüssel für vollständig verwaltete Wissensdatenbanken
<a name="encryption-kb-managed-monitor"></a>

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihrer Wissensdatenbank verwenden, können Sie [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) verwenden [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), um die Anfragen zu verfolgen, an die Amazon Bedrock sendet. AWS KMS

Im Folgenden finden Sie ein AWS CloudTrail Beispielereignis, das den Zuschuss zeigt, den Amazon Bedrock für Ihren AWS KMS Schlüssel gewährt, wenn Sie eine vollständig verwaltete Wissensdatenbank erstellen:

```
{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/SampleRole/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/SampleRole",
                "accountId": "111122223333",
                "userName": "SampleRole"
            },
            "attributes": {
                "creationDate": "2024-05-07T21:46:28Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "bedrock.amazonaws.com"
    },
    "eventTime": "2024-05-07T21:49:44Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "bedrock.amazonaws.com",
    "userAgent": "bedrock.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "bedrock.amazonaws.com",
        "retiringPrincipal": "bedrock.amazonaws.com",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "operations": [
            "Decrypt",
            "GenerateDataKey"
        ]
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
```

## Verschlüsselung von Wissensdatenbankabrufen
<a name="encryption-kb-runtime"></a>

Sie können Sitzungen, in denen Sie Antworten durch Abfragen einer Wissensdatenbank generieren, mit einem KMS-Schlüssel verschlüsseln. Geben Sie dazu den ARN eines KMS-Schlüssels in das `kmsKeyArn` Feld ein, wenn [RetrieveAndGenerate](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html)Sie eine Anfrage stellen. Fügen Sie die folgende Richtlinie bei und ersetzen Sie die Beispielwerte durch Ihre eigene AWS Region, Konto-ID und AWS KMS Schlüssel-ID, damit Amazon Bedrock den Sitzungskontext verschlüsseln kann.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
        }
    ]
}
```

------

## Verschlüsselung der vorübergehenden Datenspeicherung während der Datenerfassung
<a name="encryption-kb-ingestion"></a>

Wenn Sie einen Datenerfassungsauftrag für Ihre benutzerdefinierte Wissensdatenbank einrichten, können Sie den Job mit einem benutzerdefinierten KMS-Schlüssel verschlüsseln.

Um die Erstellung eines AWS KMS Schlüssels für die Speicherung vorübergehender Daten während der Aufnahme Ihrer Datenquelle zu ermöglichen, fügen Sie Ihrer Amazon Bedrock-Servicerolle die folgende Richtlinie bei. Ersetzen Sie die Beispielwerte durch Ihre eigene AWS Region, Konto-ID und AWS KMS Schlüssel-ID.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
            ]
        }
    ]
}
```

------

## Verschlüsselung von Informationen, die an Amazon OpenSearch Service weitergegeben werden
<a name="encryption-kb-oss"></a>

Wenn Sie sich dafür entscheiden, Amazon Bedrock in Amazon OpenSearch Service einen Vector Store für Ihre Wissensdatenbank erstellen zu lassen, kann Amazon Bedrock einen von Ihnen ausgewählten KMS-Schlüssel zur Verschlüsselung an Amazon OpenSearch Service weitergeben. Weitere Informationen zur Verschlüsselung in Amazon OpenSearch Service finden Sie unter [Verschlüsselung in Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html).

## Verschlüsselung von Informationen, die an Amazon S3 Vectors weitergegeben werden
<a name="encryption-kb-s3-vector"></a>

Wenn Sie sich dafür entscheiden, Amazon Bedrock in Amazon S3 Vectors einen S3-Vektor-Bucket und Vektorindex für Ihre Wissensdatenbank erstellen zu lassen, kann Amazon Bedrock einen von Ihnen ausgewählten KMS-Schlüssel zur Verschlüsselung an Amazon S3 Vectors weitergeben. Weitere Informationen zur Verschlüsselung in Amazon S3 Vectors finden Sie unter [Verschlüsselung mit Amazon S3 Vectors](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-vectors-bucket-encryption.html).

## Berechtigungen zum Entschlüsseln Ihrer AWS KMS Schlüssel für Ihre Datenquellen in Amazon S3
<a name="encryption-kb-ds"></a>

Sie speichern die Datenquellen für Ihre Wissensdatenbank in Ihrem Amazon-S3-Bucket. Um diese Dokumente im Ruhezustand zu verschlüsseln, können Sie die SSE-S3 serverseitige Amazon S3 S3-Verschlüsselungsoption verwenden. Mit dieser Option werden Objekte mit Serviceschlüsseln verschlüsselt, die vom Amazon-S3-Service verwaltet werden. 

Weitere Informationen finden Sie unter [Schützen von Daten mithilfe serverseitiger Verschlüsselung mit S3-managed Amazon-Verschlüsselungsschlüsseln (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.

Wenn Sie Ihre Datenquellen in Amazon S3 mit einem benutzerdefinierten AWS KMS Schlüssel verschlüsselt haben, fügen Sie Ihrer Amazon Bedrock-Servicerolle die folgende Richtlinie bei, damit Amazon Bedrock Ihren Schlüssel entschlüsseln kann. Ersetzen Sie die Beispielwerte durch Ihre eigene AWS Region, Konto-ID und AWS KMS Schlüssel-ID.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "KMS:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
            ],
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": [
                        "s3.us-east-1.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

## Berechtigungen zum Entschlüsseln eines AWS Secrets Manager geheim für den Vektorspeicher, der Ihre Wissensdatenbank enthält
<a name="encryption-kb-3p"></a>

Wenn der Vektorspeicher, der Ihre Wissensdatenbank enthält, mit einem AWS Secrets Manager Geheimnis konfiguriert ist, können Sie das Geheimnis mit einem benutzerdefinierten AWS KMS Schlüssel verschlüsseln, indem Sie die Schritte unter [Geheime Verschlüsselung und Entschlüsselung](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) unter ausführen. AWS Secrets Manager

Fügen Sie Ihrer Amazon-Bedrock-Servicerolle in diesem Fall die folgende Richtlinie an, damit sie Ihren Schlüssel entschlüsseln kann. Ersetzen Sie die Beispielwerte durch Ihre eigene AWS Region, Konto-ID und AWS KMS Schlüssel-ID.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
            ]
        }
    ]
}
```

------

## Berechtigungen für Bedrock Data Automation (BDA) mit AWS KMS Verschlüsselung
<a name="encryption-kb-bda"></a>

Bei der Verwendung von BDA zur Verarbeitung multimodaler Inhalte mit vom Kunden verwalteten AWS KMS Schlüsseln sind zusätzliche Berechtigungen erforderlich, die über die Standardberechtigungen hinausgehen. AWS KMS 

Fügen Sie Ihrer Amazon Bedrock-Servicerolle die folgende Richtlinie bei, damit BDA mit verschlüsselten Multimediadateien arbeiten kann. Ersetzen Sie die Beispielwerte durch Ihre eigene AWS Region, Konto-ID und AWS KMS Schlüssel-ID.

```
{
    "Sid": "KmsPermissionStatementForBDA",
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:CreateGrant"
    ],
    "Resource": "arn:aws:kms:{{region}}:{{account-id}}:key/{{key-id}}",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "{{account-id}}",
            "kms:ViaService": "bedrock.{{region}}.amazonaws.com"
        }
    }
}
```

Zu den BDA-specific Berechtigungen gehören `kms:DescribeKey` auch `kms:CreateGrant` Aktionen, die BDA benötigt, um verschlüsselte Audio-, Video- und Bilddateien zu verarbeiten.