Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Permisos para la memoria del agente
Si ha habilitado la memoria para su agente y cifra las sesiones del agente con una clave gestionada por el cliente, debe configurar la siguiente política de claves y los permisos de IAM de la identidad de llamada para configurar la clave gestionada por el cliente.
Política de claves gestionadas por el cliente
Amazon Bedrock utiliza estos permisos para generar claves de datos cifradas y, a continuación, utiliza las claves generadas para cifrar la memoria del agente. Amazon Bedrock también necesita permisos para volver a cifrar la clave de datos generada con distintos contextos de cifrado. Los permisos de recifrado también se utilizan cuando una clave gestionada por el cliente pasa de una clave gestionada por el cliente a otra clave gestionada por el cliente o una clave propiedad del servicio. Para obtener más información, consulte Conjunto de claves jerárquico.
Sustituya los $region valoresaccount-id, y por los ${caller-identity-role} valores adecuados.
{ "Version": "2012-10-17", { "Sid": "Allow access for bedrock to enable long term memory", "Effect": "Allow", "Principal": { "Service": [ "bedrock.amazonaws.com", ], }, "Action": [ "kms:GenerateDataKeyWithoutPlainText", "kms:ReEncrypt*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "$account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:bedrock:$region:$account-id:agent-alias/*" } } "Resource": "*" }, { "Sid": "Allow the caller identity control plane permissions for long term memory", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}" }, "Action": [ "kms:GenerateDataKeyWithoutPlainText", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*" } } }, { "Sid": "Allow the caller identity data plane permissions to decrypt long term memory", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}" }, "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*", "kms:ViaService": "bedrock.$region.amazonaws.com" } } } }
Permisos de IAM para cifrar y descifrar la memoria del agente
Se necesitan los siguientes permisos de IAM para que la API de agentes que invoca la identidad configure la clave KMS para los agentes con la memoria habilitada. Los agentes de Amazon Bedrock utilizan estos permisos para asegurarse de que la identidad de la persona que llama está autorizada a tener los permisos mencionados en la política clave anterior para que las API administren, entrenen e implementen modelos. Para las API que invocan a los agentes, el agente de Amazon Bedrock utiliza los kms:Decrypt permisos de la identidad de la persona que llama para descifrar la memoria.
Sustituya$region, y ${key-id} por los account-id valores adecuados.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Bedrock agents control plane long term memory permissions", "Effect": "Allow", "Action": [ "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", ], "Resource": "arn:aws:kms:$region:$account-id:key/$key-id", "Condition": { "StringEquals": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*" } } }, { "Sid": "Bedrock agents data plane long term memory permissions", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:$region:$account-id:key/$key-id", "Condition": { "StringEquals": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*" } } } ] }}
