Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazioni per la memoria dell'agente
Se hai abilitato la memoria per il tuo agente e crittografi le sessioni degli agenti con una chiave gestita dal cliente, devi configurare la seguente politica di chiave e le autorizzazioni IAM per l'identità di chiamata per configurare la chiave gestita dal cliente.
Politica delle chiavi gestite dal cliente
Amazon Bedrock utilizza queste autorizzazioni per generare chiavi dati crittografate e quindi utilizza le chiavi generate per crittografare la memoria degli agenti. Amazon Bedrock necessita inoltre delle autorizzazioni per crittografare nuovamente la chiave dati generata con diversi contesti di crittografia. Le autorizzazioni di ricrittografia vengono utilizzate anche quando le transizioni di chiave gestite dal cliente si spostano tra un'altra chiave gestita dal cliente o una chiave di proprietà del servizio. Per ulteriori informazioni, consulta Hierarchical Keyring.
Sostituisci $regionaccount-id, e ${caller-identity-role} con i valori appropriati.
{ "Version": "2012-10-17", { "Sid": "Allow access for bedrock to enable long term memory", "Effect": "Allow", "Principal": { "Service": [ "bedrock.amazonaws.com", ], }, "Action": [ "kms:GenerateDataKeyWithoutPlainText", "kms:ReEncrypt*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "$account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:bedrock:$region:$account-id:agent-alias/*" } } "Resource": "*" }, { "Sid": "Allow the caller identity control plane permissions for long term memory", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}" }, "Action": [ "kms:GenerateDataKeyWithoutPlainText", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*" } } }, { "Sid": "Allow the caller identity data plane permissions to decrypt long term memory", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}" }, "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*", "kms:ViaService": "bedrock.$region.amazonaws.com" } } } }
Autorizzazioni IAM per crittografare e decrittografare la memoria dell'agente
Le seguenti autorizzazioni IAM sono necessarie per consentire all'API Identity Calling Agents di configurare la chiave KMS per gli agenti con memoria abilitata. Gli agenti di Amazon Bedrock utilizzano queste autorizzazioni per assicurarsi che l'identità del chiamante sia autorizzata a disporre delle autorizzazioni menzionate nella politica chiave sopra riportata per le API per la gestione, l'addestramento e la distribuzione dei modelli. Per le API che richiamano gli agenti, l'agente Amazon Bedrock utilizza le kms:Decrypt autorizzazioni dell'identità del chiamante per decrittografare la memoria.
Sostituisci, e con i valori appropriati. $region account-id ${key-id}
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Bedrock agents control plane long term memory permissions", "Effect": "Allow", "Action": [ "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", ], "Resource": "arn:aws:kms:$region:$account-id:key/$key-id", "Condition": { "StringEquals": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*" } } }, { "Sid": "Bedrock agents data plane long term memory permissions", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:$region:$account-id:key/$key-id", "Condition": { "StringEquals": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*" } } } ] }}
