Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Crittografia delle risorse degli agenti per gli agenti creati prima del 22 gennaio 2025 **Importante** Se hai creato il tuo agente *dopo* il 22 gennaio 2025, segui le istruzioni fornite in [Crittografia delle risorse dell'agente](encryption-agents-new.md). Amazon Bedrock crittografa le informazioni sulla sessione del tuo agente. Per impostazione predefinita, Amazon Bedrock crittografa questi dati utilizzando una chiave AWS gestita. Facoltativamente, puoi crittografare gli artefatti dell'agente utilizzando una chiave gestita dal cliente. Per ulteriori informazioni in meritoAWS KMS keys, consulta [Customer managed keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *AWS Key Management ServiceDeveloper* Guide. Se crittografi le sessioni con l’agente con una chiave KMS personalizzata, devi configurare la policy basata sull’identità e la policy basata sulle risorse indicate di seguito per consentire ad Amazon Bedrock di crittografare e decrittografare le risorse degli agenti per tuo conto. 1. Allega la seguente policy basata sull'identità a un utente o ruolo IAM con autorizzazioni per effettuare chiamate `InvokeAgent`. Questa policy verifica che l'utente che effettua una chiamata `InvokeAgent` disponga delle autorizzazioni KMS. Sostituisci *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1agent-id\$1* e *\$1\$1key-id\$1* con i valori appropriati. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "EncryptDecryptAgents", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/agent-id" } } } ] } ``` ------ 1. Allega la seguente policy basata sulle risorse alla chiave KMS. Modifica l’ambito delle autorizzazioni, se necessario. Sostituisci *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1agent-id\$1* e *\$1\$1key-id\$1* con i valori appropriati. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRootModifyKMSKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId" }, { "Sid": "AllowBedrockEncryptAgent", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:us-east-1:123456789012:agent/AgentId" } } }, { "Sid": "AllowRoleEncryptAgent", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/Role" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId" }, { "Sid": "AllowAttachmentPersistentResources", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ] } ``` ------