Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon Bedrock verschlüsselt Ihre Daten im Ruhezustand. Standardmäßig verschlüsselt Amazon Bedrock diese Daten mit einem AWS -verwalteten Schlüssel. Optional können Sie die Daten mit einem vom Kunden verwalteten Schlüssel verschlüsseln.
Weitere Informationen dazu finden Sie AWS KMS keys unter Vom Kunden verwaltete Schlüssel im AWS Key Management Service Entwicklerhandbuch.
Wenn Sie Daten mit einem benutzerdefinierten KMS-Schlüssel verschlüsseln, müssen Sie die folgenden identitäts- und ressourcenbasierten Richtlinien einrichten, damit Amazon Bedrock Daten in Ihrem Namen ver- und entschlüsseln kann.
-
Fügen Sie die folgende identitätsbasierte Richtlinie einer IAM-Rolle oder einem IAM-Benutzer hinzu, der berechtigt ist, Amazon Bedrock Flows API-Aufrufe zu tätigen. Diese Richtlinie bestätigt, dass der Benutzer, der Amazon Bedrock Flows-Anrufe tätigt, über KMS-Berechtigungen verfügt. Ersetzen Sie
${region},${account-id}${flow-id}, und durch die${key-id}entsprechenden Werte.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Amazon Bedrock Flows to encrypt and decrypt data", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:${region}:${account-id}:flow/${flow-id}", "kms:ViaService": "bedrock.${region}.amazonaws.com" } } } ] } -
Hängen Sie die folgende ressourcenbasierte Richtlinie Ihrem KMS-Schlüssel an. Ändern Sie den Geltungsbereich der Berechtigungen nach Bedarf. Ersetzen Sie
{IAM-USER/ROLE-ARN},${region},${account-id}${flow-id}, und${key-id}durch die entsprechenden Werte.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}" }, { "Sid": "Allow the IAM user or IAM role of Flows API caller to use the key to encrypt and decrypt data.", "Effect": "Allow", "Principal": { "AWS": "{IAM-USER/ROLE-ARN}" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:${region}:${account-id}:flow/${flow-id}", "kms:ViaService": "bedrock.${region}.amazonaws.com" } } } ] }
