에이전트 리소스 암호화 - Amazon Bedrock

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에이전트 리소스 암호화

Amazon Bedrock은 에이전트의 세션 정보를 암호화합니다. 기본적으로 Amazon Bedrock은 관리 키를 사용하여 이 데이터를 암호화합니다. AWS 선택 사항으로, 고객 관리형 키를 사용하여 에이전트 아티팩트를 암호화할 수 있습니다.

에 대한 자세한 내용은 개발자 AWS KMS keys안내서의 고객 관리형 키를 참조하십시오.AWS Key Management Service

사용자 지정 KMS 키로 에이전트와의 세션을 암호화하는 경우 Amazon Bedrock이 사용자 대신 에이전트 리소스를 암호화하고 해독하도록 허용하려면 다음 ID 기반 정책 및 리소스 기반 정책을 설정해야 합니다.

  1. InvokeAgent를 직접 호출할 수 있는 권한이 있는 IAM 역할 또는 사용자에게 다음 ID 기반 정책을 연결합니다. 이 정책은 InvokeAgent를 직접 호출할 수 있는 사용자에게 KMS 권한이 있는지 확인합니다. $ {region}, $ {account-id}, $ {agent-id} 및 $ {key-id} 를 적절한 값으로 바꾸십시오.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent/${agent-id}"
                }
            }
        }
    ]
}

  2. 다음 리소스 기반 정책을 KMS 키에 연결합니다. 필요에 따라 권한의 범위를 변경합니다. $ {region}, $ {account-id}, $ {agent-id} 및 $ {key-id} 를 적절한 값으로 바꾸십시오.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::${account-id}:root"
            },
            "Action": "kms:*",
            "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}"
        },
        {
            "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent/${agent-id}"
                }
            }
        },
        {
            "Sid": "Allow the service role to use the key to encrypt and decrypt Agent resources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::${account-id}:role/${role}"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt",
            ],
            "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}"
},
        {
           "Sid": "Allow the attachment of persistent resources",
           "Effect": "Allow",
           "Principal": {
               "Service": "bedrock.amazonaws.com"
           },
           "Action": [
               "kms:CreateGrant",
               "kms:ListGrants",
               "kms:RevokeGrant"
           ],
           "Resource": "*",
           "Condition": {
               "Bool": {
                   "kms:GrantIsForAWSResource": "true"
               }
           }
         }
    ]
}