Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado de los recursos de los agentes
Amazon Bedrock cifra la información de la sesión de su agente. De forma predeterminada, Amazon Bedrock cifra estos datos mediante una clave AWS gestionada. Si lo desea, puede cifrar los artefactos del agente mediante una clave administrada por el cliente.
Para obtener más información AWS KMS keys, consulte las claves administradas por el cliente en la Guía AWS Key Management Service para desarrolladores.
Si cifra las sesiones con su agente con una clave de KMS personalizada, debe configurar la siguiente política basada en la identidad y la política basada en los recursos para que Amazon Bedrock pueda cifrar y descifrar los recursos del agente en su nombre.
-
Asocie la siguiente política basada en identidades a un usuario o rol de IAM con permisos para realizar llamadas
InvokeAgent. Esta política valida que el usuario que realice una llamadaInvokeAgenttenga permisos de KMS.Sustituya$ {region}, $ {account-id}, $ {agent-id}y $ {key-id} por los valores adecuados.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent/${agent-id}" } } } ] } -
Asocie la siguiente política basada en recursos a su clave KMS. Cambie el alcance de los permisos según sea necesario.
Sustituya$ {region}, $ {account-id}, $ {agent-id}y $ {key-id}por los valores adecuados.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}" }, { "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent/${agent-id}" } } }, { "Sid": "Allow the service role to use the key to encrypt and decrypt Agent resources", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:role/${role}" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt", ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}" }, { "Sid": "Allow the attachment of persistent resources", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ] }
