Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia delle risorse dell'agente
Amazon Bedrock crittografa le informazioni sulla sessione del tuo agente. Per impostazione predefinita, Amazon Bedrock crittografa questi dati utilizzando una chiave AWS gestita. Facoltativamente, puoi crittografare gli artefatti dell'agente utilizzando una chiave gestita dal cliente.
Per ulteriori informazioni in merito AWS KMS keys, consulta Customer managed keys nella AWS Key Management Service Developer Guide.
Se crittografi le sessioni con il tuo agente con una chiave KMS personalizzata, devi configurare la seguente politica basata sull'identità e la politica basata sulle risorse per consentire ad Amazon Bedrock di crittografare e decrittografare le risorse degli agenti per tuo conto.
-
Allega la seguente policy basata sull'identità a un utente o ruolo IAM con autorizzazioni per effettuare chiamate
InvokeAgent
. Questa policy verifica che l'utente che effettua una chiamataInvokeAgent
disponga delle autorizzazioni KMS.Sostituisci
$ {region}, $ {account-id}
, $ {agent-id} e
con i valori appropriati.$
{key-id}{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:
${region}
:${account-id}
:key/${key-id}
", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:${region}
:${account-id}
:agent/${agent-id}
" } } } ] } -
Allega la seguente policy basata sulle risorse alla chiave KMS. Modifica l'ambito delle autorizzazioni, se necessario.
Sostituisci
$ {region}, $ {account-id}
, $ {agent-id}
e $ {key-id
} con i valori appropriati.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
${account-id}
:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:${region}
:${account-id}
:key/${key-id}
" }, { "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:${region}
:${account-id}
:key/${key-id}
", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:${region}
:${account-id}
:agent/${agent-id}
" } } }, { "Sid": "Allow the service role to use the key to encrypt and decrypt Agent resources", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}
:role/${role}
" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt", ], "Resource": "arn:aws:kms:${region}
:${account-id}
:key/${key-id}
" }, { "Sid": "Allow the attachment of persistent resources", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ] }