As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Permissões para memória do agente
Se você habilitou a memória para seu agente e criptografou as sessões do agente com uma chave gerenciada pelo cliente, deverá configurar a seguinte política de chaves e as permissões do IAM de identidade de chamada para configurar sua chave gerenciada pelo cliente.
Política de chaves gerenciada pelo cliente
O Amazon Bedrock usa essas permissões para gerar chaves de dados criptografadas e, em seguida, usa as chaves geradas para criptografar a memória do agente. O Amazon Bedrock também precisa de permissões para recriptografar a chave de dados gerada com diferentes contextos de criptografia. As permissões de recriptografia também são usadas quando a chave gerenciada pelo cliente faz a transição entre outra chave gerenciada pelo cliente ou chave de propriedade do serviço. Para obter mais informações, consulte Chaveiro hierárquico.
Substitua o $regionaccount-id, e ${caller-identity-role} por valores apropriados.
{ "Version": "2012-10-17", { "Sid": "Allow access for bedrock to enable long term memory", "Effect": "Allow", "Principal": { "Service": [ "bedrock.amazonaws.com", ], }, "Action": [ "kms:GenerateDataKeyWithoutPlainText", "kms:ReEncrypt*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "$account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:bedrock:$region:$account-id:agent-alias/*" } } "Resource": "*" }, { "Sid": "Allow the caller identity control plane permissions for long term memory", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}" }, "Action": [ "kms:GenerateDataKeyWithoutPlainText", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*" } } }, { "Sid": "Allow the caller identity data plane permissions to decrypt long term memory", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}" }, "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*", "kms:ViaService": "bedrock.$region.amazonaws.com" } } } }
Permissões do IAM para criptografar e descriptografar a memória do agente
As seguintes permissões do IAM são necessárias para que a API de agentes de chamada de identidade configure a chave KMS para agentes com memória ativada. Os agentes do Amazon Bedrock usam essas permissões para garantir que a identidade do chamador esteja autorizada a ter as permissões mencionadas na política principal acima para que as APIs gerenciem, treinem e implantem modelos. Para as APIs que invocam agentes, o agente Amazon Bedrock usa as kms:Decrypt permissões da identidade do chamador para descriptografar a memória.
Substitua o $regionaccount-id, e ${key-id} por valores apropriados.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Bedrock agents control plane long term memory permissions", "Effect": "Allow", "Action": [ "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", ], "Resource": "arn:aws:kms:$region:$account-id:key/$key-id", "Condition": { "StringEquals": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*" } } }, { "Sid": "Bedrock agents data plane long term memory permissions", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:$region:$account-id:key/$key-id", "Condition": { "StringEquals": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*" } } } ] }}
