Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement des ressources de l’agent
Amazon Bedrock chiffre les informations de session de l’agent. Par défaut, Amazon Bedrock chiffre ces données à l'aide d'une clé AWS gérée. Vous avez aussi la possibilité de chiffrer les artefacts de l’agent à l’aide d’une clé gérée par le client.
Pour plus d'informations AWS KMS keys, consultez la section Clés gérées par le client dans le Guide du AWS Key Management Service développeur.
Si vous chiffrez des sessions avec votre agent à l'aide d'une clé KMS personnalisée, vous devez configurer la politique basée sur l'identité et la politique basée sur les ressources suivantes pour permettre à Amazon Bedrock de chiffrer et de déchiffrer les ressources de l'agent en votre nom.
-
Associez la politique suivante basée sur l’identité à un rôle ou à un utilisateur IAM avec les autorisations requises pour envoyer des appels à
InvokeAgent. Cette politique valide que l’utilisateur effectuant un appelInvokeAgentdispose des autorisations KMS. Remplacez$ {region},$ {account-id},$ {agent-id} etpar les valeurs appropriées.$ {key-id}{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent/${agent-id}" } } } ] } -
Associez à votre clé KMS la politique suivante basée sur les ressources. Modifiez l’étendue des autorisations si nécessaire. Remplacez
$ {region},$ {account-id},$ {agent-id} etpar les valeurs appropriées.$ {key-id}{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}" }, { "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent/${agent-id}" } } }, { "Sid": "Allow the service role to use the key to encrypt and decrypt Agent resources", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:role/${role}" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt", ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}" }, { "Sid": "Allow the attachment of persistent resources", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ] }
