Criptografia dos recursos do agente - Amazon Bedrock

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia dos recursos do agente

O Amazon Bedrock criptografa as informações da sessão do agente. Por padrão, o Amazon Bedrock criptografa esses dados usando uma chave AWS gerenciada. Opcionalmente, você pode criptografar os artefatos de agente usando uma chave gerenciada pelo cliente.

Para obter mais informações sobre AWS KMS keys, consulte Chaves gerenciadas pelo cliente no Guia do AWS Key Management Service desenvolvedor.

Se você criptografar sessões com seu agente com uma chave KMS personalizada, deverá configurar a seguinte política baseada em identidade e política baseada em recursos para permitir que o Amazon Bedrock criptografe e descriptografe recursos do agente em seu nome.

  1. Anexe a política baseada em identidade a um usuário ou perfil do IAM com permissão para fazer chamadas InvokeAgent. Essa política valida que o usuário que está fazendo uma chamada InvokeAgent tem as permissões do KMS. Substitua $ {region}, $ {account-id}, $ {agent-id} e $ {key-id} pelos valores apropriados.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent/${agent-id}" } } } ] }
  2. Anexe a política baseada em recurso a seguir à sua chave do KMS. Altere o escopo das permissões conforme necessário. Substitua $ {region}, $ {account-id}, $ {agent-id} e $ {key-id} pelos valores apropriados.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account root to modify the KMS key, not used by Amazon Bedrock.", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:root" }, "Action": "kms:*", "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}" }, { "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent/${agent-id}" } } }, { "Sid": "Allow the service role to use the key to encrypt and decrypt Agent resources", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:role/${role}" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt", ], "Resource": "arn:aws:kms:${region}:${account-id}:key/${key-id}" }, { "Sid": "Allow the attachment of persistent resources", "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ] }