Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Amazon Bedrock chiffre vos données au repos. Par défaut, Amazon Bedrock chiffre ces données à l’aide d’une clé gérée par AWS . Vous pouvez éventuellement chiffrer les données à l'aide d'une clé gérée par le client.
Pour plus d'informations AWS KMS keys, consultez la section Clés gérées par le client dans le Guide du AWS Key Management Service développeur.
Si vous chiffrez des données avec une clé KMS personnalisée, vous devez configurer la politique basée sur l'identité et la politique basée sur les ressources suivantes pour permettre à Amazon Bedrock de chiffrer et de déchiffrer les données en votre nom.
-
Associez la politique basée sur l'identité suivante à un rôle ou à un utilisateur IAM autorisé à effectuer des appels d'API Amazon Bedrock Flows. Cette politique confirme que l'utilisateur effectuant des appels Amazon Bedrock Flows dispose des autorisations KMS. Remplacez les valeurs
${region}${account-id}${flow-id},, et${key-id}par les valeurs appropriées.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Amazon Bedrock Flows to encrypt and decrypt data", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:${region}:${account-id}:flow/${flow-id}", "kms:ViaService": "bedrock.${region}.amazonaws.com" } } } ] } -
Associez à votre clé KMS la politique suivante basée sur les ressources. Modifiez l’étendue des autorisations si nécessaire. Remplacez les valeurs
{IAM-USER/ROLE-ARN}${region}${account-id},${flow-id}, et${key-id}par les valeurs appropriées.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}" }, { "Sid": "Allow the IAM user or IAM role of Flows API caller to use the key to encrypt and decrypt data.", "Effect": "Allow", "Principal": { "AWS": "{IAM-USER/ROLE-ARN}" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:${region}:${account-id}:flow/${flow-id}", "kms:ViaService": "bedrock.${region}.amazonaws.com" } } } ] }
