翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
エージェントメモリのアクセス許可
エージェントのメモリを有効にしていて、カスタマーマネージドキーを使用してエージェントセッションを暗号化する場合は、次のキーポリシーと呼び出し元の ID IAM アクセス許可を設定して、カスタマーマネージドキーを設定する必要があります。
カスタマーマネージドキーポリシー
Amazon Bedrock は、これらのアクセス許可を使用して暗号化されたデータキーを生成し、生成されたキーを使用してエージェントメモリを暗号化します。Amazon Bedrock には、生成されたデータキーを異なる暗号化コンテキストで再暗号化するアクセス許可も必要です。再暗号化アクセス許可は、カスタマーマネージドキーが別のカスタマーマネージドキーまたはサービス所有キー間で移行する場合にも使用されます。詳細については、「階層キーリング」を参照してください。
$region、、account-idおよび を適切な値${caller-identity-role}に置き換えます。
{ "Version": "2012-10-17", { "Sid": "Allow access for bedrock to enable long term memory", "Effect": "Allow", "Principal": { "Service": [ "bedrock.amazonaws.com", ], }, "Action": [ "kms:GenerateDataKeyWithoutPlainText", "kms:ReEncrypt*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "$account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:bedrock:$region:$account-id:agent-alias/*" } } "Resource": "*" }, { "Sid": "Allow the caller identity control plane permissions for long term memory", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}" }, "Action": [ "kms:GenerateDataKeyWithoutPlainText", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*" } } }, { "Sid": "Allow the caller identity data plane permissions to decrypt long term memory", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}" }, "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*", "kms:ViaService": "bedrock.$region.amazonaws.com" } } } }
エージェントメモリを暗号化および復号するための IAM アクセス許可
メモリが有効になっているエージェントの KMS キーを設定するには、ID 呼び出しエージェント API に次の IAM アクセス許可が必要です。Amazon Bedrock エージェントは、これらのアクセス許可を使用して、APIs がモデルを管理、トレーニング、デプロイするための上記のキーポリシーに記載されているアクセス許可を発信者 ID に付与できるようにします。エージェントを呼び出す APIs の場合、Amazon Bedrock エージェントは発信者 ID のkms:Decryptアクセス許可を使用してメモリを復号します。
$region、、account-idおよび を適切な値${key-id}に置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Bedrock agents control plane long term memory permissions", "Effect": "Allow", "Action": [ "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", ], "Resource": "arn:aws:kms:$region:$account-id:key/$key-id", "Condition": { "StringEquals": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*" } } }, { "Sid": "Bedrock agents data plane long term memory permissions", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:$region:$account-id:key/$key-id", "Condition": { "StringEquals": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*" } } } ] }}
