Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Jika Anda telah mengaktifkan memori untuk agen Anda dan jika Anda mengenkripsi sesi agen dengan kunci terkelola pelanggan, Anda harus mengonfigurasi kebijakan kunci berikut dan izin IAM identitas panggilan untuk mengonfigurasi kunci terkelola pelanggan Anda.
Kebijakan kunci yang dikelola pelanggan
Amazon Bedrock menggunakan izin ini untuk menghasilkan kunci data terenkripsi dan kemudian menggunakan kunci yang dihasilkan untuk mengenkripsi memori agen. Amazon Bedrock juga memerlukan izin untuk mengenkripsi ulang kunci data yang dihasilkan dengan konteks enkripsi yang berbeda. Izin enkripsi ulang juga digunakan ketika transisi kunci yang dikelola pelanggan antara kunci yang dikelola pelanggan lain atau kunci yang dimiliki layanan. Untuk informasi selengkapnya, lihat Hierarchical Keyring.
Ganti$region,account-id, dan ${caller-identity-role} dengan nilai yang sesuai.
{
"Version": "2012-10-17",
{
"Sid": "Allow access for bedrock to enable long term memory",
"Effect": "Allow",
"Principal": {
"Service": [
"bedrock.amazonaws.com",
],
},
"Action": [
"kms:GenerateDataKeyWithoutPlainText",
"kms:ReEncrypt*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "$account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:bedrock:$region:$account-id:agent-alias/*"
}
}
"Resource": "*"
},
{
"Sid": "Allow the caller identity control plane permissions for long term memory",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}"
},
"Action": [
"kms:GenerateDataKeyWithoutPlainText",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*"
}
}
},
{
"Sid": "Allow the caller identity data plane permissions to decrypt long term memory",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*",
"kms:ViaService": "bedrock.$region.amazonaws.com"
}
}
}
}
Izin IAM untuk mengenkripsi dan mendekripsi memori agen
Izin IAM berikut diperlukan untuk API Agen pemanggil identitas untuk mengonfigurasi kunci KMS untuk agen dengan memori diaktifkan. Agen Amazon Bedrock menggunakan izin ini untuk memastikan bahwa identitas pemanggil diizinkan untuk memiliki izin yang disebutkan dalam kebijakan utama di atas agar API dapat mengelola, melatih, dan menerapkan model. Untuk API yang memanggil agen, agen Amazon Bedrock menggunakan kms:Decrypt izin identitas pemanggil untuk mendekripsi memori.
Ganti$region,account-id, dan ${key-id} dengan nilai yang sesuai.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Bedrock agents control plane long term memory permissions",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKeyWithoutPlaintext",
"kms:ReEncrypt*",
],
"Resource": "arn:aws:kms:$region:$account-id:key/$key-id",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*"
}
}
},
{
"Sid": "Bedrock agents data plane long term memory permissions",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:$region:$account-id:key/$key-id",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*"
}
}
}
]
}}
