Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi sumber daya agen
Amazon Bedrock mengenkripsi informasi sesi agen Anda. Secara default, Amazon Bedrock mengenkripsi data ini menggunakan kunci terkelola AWS . Secara opsional, Anda dapat mengenkripsi artefak agen menggunakan kunci yang dikelola pelanggan.
Untuk informasi selengkapnya AWS KMS keys, lihat Kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.
Jika Anda mengenkripsi sesi dengan agen Anda dengan kunci KMS kustom, Anda harus menyiapkan kebijakan berbasis identitas berikut dan kebijakan berbasis sumber daya untuk mengizinkan Amazon Bedrock mengenkripsi dan mendekripsi sumber daya agen atas nama Anda.
-
Lampirkan kebijakan berbasis identitas berikut ke peran IAM atau pengguna dengan izin untuk melakukan panggilan.
InvokeAgent
Kebijakan ini memvalidasi pengguna yang melakukanInvokeAgent
panggilan memiliki izin KMS. Ganti$ {region}
,$ {account-id}
,$ {agent-id}, dan
dengan nilai yang sesuai.$ {key-id
}{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:
${region}
:${account-id}
:key/${key-id}
", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:${region}
:${account-id}
:agent/${agent-id}
" } } } ] } -
Lampirkan kebijakan berbasis sumber daya berikut ke kunci KMS Anda. Ubah ruang lingkup izin seperlunya. Ganti
$ {region}
,$ {account-id}
,$ {agent-id}, dan
dengan nilai yang sesuai.$ {key-id
}{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
${account-id}
:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:${region}
:${account-id}
:key/${key-id}
" }, { "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:${region}
:${account-id}
:key/${key-id}
", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:${region}
:${account-id}
:agent/${agent-id}
" } } }, { "Sid": "Allow the service role to use the key to encrypt and decrypt Agent resources", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}
:role/${role}
" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt", ], "Resource": "arn:aws:kms:${region}
:${account-id}
:key/${key-id}
" }, { "Sid": "Allow the attachment of persistent resources", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ] }