Amazon Bedrock 通过加密、访问控制和客户数据的严格隔离来确保企业用户的数据隐私和安全。 作为一项托管服务,Bedrock 使用 AWS 密钥管理服务 (KMS) 加密传输中和静态的数据。 例如,通过 API 调用发送到第三方模型的数据受到 TLS 加密保护,并且存储的输入或输出(如果保留)使用客户管理的密钥进行加密。 Bedrock 还阻止第三方模型提供商访问或保留用户数据 - 请求的处理不会将敏感信息暴露给模型供应商。
该服务通过 AWS Identity and Access Management (IAM) 强制执行精细的访问控制。 开发人员可以定义策略来限制哪些用户、角色或应用程序可以调用特定模型。 例如,处理财务数据的团队可能会限制只有授权人员才能访问 Bedrock 的 Claude 模型,同时阻止其他模型。 Bedrock 还与 AWS PrivateLink 集成,从而实现专用网络连接,以避免将流量暴露于公共互联网。 此外,通过 AWS CloudTrail 的审计日志会跟踪所有 API 活动,从而使企业能够监控模型使用情况并验证是否符合内部策略。
Bedrock 通过遵守 AWS 的全球安全标准(包括 SOC 2、ISO 27001 和 GDPR)来解决合规性问题。 Bedrock 中提供的第三方模型经过审查,以满足 AWS 的安全要求,从而确保它们不会存储或滥用客户数据。 例如,使用 Stability AI 的模型时,会临时处理提示和输出,而 Stability AI 不会保留它们。 企业还可以配置数据驻留规则,以确保在特定地理区域进行处理。 通过将 AWS 基础设施保护措施与第三方提供商的合同义务相结合,Bedrock 在保持与外部模型的互操作性的同时,最大限度地降低了风险。