Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Crittografia delle risorse Amazon Bedrock Flows Amazon Bedrock esegue la crittografia dei dati a riposo. Per impostazione predefinita, Amazon Bedrock crittografa questi dati utilizzando una chiave gestita da AWS. Facoltativamente, puoi crittografare i dati utilizzando una chiave gestita dal cliente. Per ulteriori informazioniAWS KMS keys, consulta [Customer managed keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *AWS Key Management ServiceDeveloper Guide*. Se crittografi i dati con una chiave KMS personalizzata, devi configurare le seguenti policy, basata sull’identità e basata sulle risorse, per consentire ad Amazon Bedrock di crittografare e decrittografare i dati per tuo conto. 1. Allega la seguente policy basata sull’identità a un ruolo IAM o a un utente con autorizzazioni per effettuare chiamate API di Amazon Bedrock Flows. Questa policy verifica che l’utente che effettua chiamate Amazon Bedrock Flows disponga delle autorizzazioni KMS. Sostituisci *\$1\$1region\$1*, *\$1\$1account-id\$1*, *\$1\$1flow-id\$1* e *\$1\$1key-id\$1* con i valori appropriati. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "EncryptFlow", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/${flow-id}", "kms:ViaService": "bedrock.us-east-1.amazonaws.com" } } } ] } ``` ------ 1. Allega la seguente policy basata sulle risorse alla chiave KMS. Modifica l’ambito delle autorizzazioni, se necessario. Sostituisci *\$1IAM-USER/ROLE-ARN\$1**\$1\$1region\$1*,*\$1\$1account-id\$1*,*\$1\$1flow-id\$1*, e *\$1\$1key-id\$1* con i valori appropriati. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRootModifyKMSId", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:us-east-1:123456789012:key/KeyId" }, { "Sid": "AllowRoleUseKMSKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/RoleName" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:123456789012:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/FlowId", "kms:ViaService": "bedrock.us-east-1.amazonaws.com" } } } ] } ``` ------ 1. Per le [esecuzioni del flusso](flows-create-async.md), allega la seguente policy basata sull’identità a un [ruolo di servizio con autorizzazioni per creare e gestire i flussi](flows-permissions.md). Questa politica verifica che il ruolo di servizio dell'utente disponga delle AWS KMS autorizzazioni. Sostituisci *region*, *account-id*, *flow-id* e *key-id* con i valori appropriati. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "EncryptionFlows", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock-flows:arn": "arn:aws:bedrock:us-east-1:123456789012:flow/flow-id", "kms:ViaService": "bedrock.us-east-1.amazonaws.com" } } } ] } ``` ------